PANORAMA

DE LA
CYBERMENACE
2024
 →
MMXXIV

PANORAMA
DE LA
CYBERMENACE
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

→ INTRODUCTION 4

I → OPPORTUNITÉS POUR LES ATTAQUANTS 6

A → JEUX OLYMPIQUES ET PARALYMPIQUES DE PARIS 2024 7
B → FAIBLESSES TECHNIQUES 10
1/ rappel du triptyque des bonnes pratiques de sécurité des systèmes d’information (ssi) 10
2/ durcissement du système d’information 10
C → VULNÉRABILITÉS EXPLOITÉES 12
1/ équipements de bordure et de sécurité : des cibles de choix 12
2/ acteurs exploitant les vulnérabilités dans des équipements de sécurité en bordure 16
3/ évolutions réglementaires et coordination du traitement des vulnérabilités produit 16

II → MOYENS MIS EN ŒUVRE PAR LES ATTAQUANTS 18

A → CIBLAGE DE LA CHAîNE D’APPROVISIONNEMENT 19
B → ÉVOLUTIONS DE L’OUTILLAGE ET DES INFRASTRUCTURES D’ATTAQUE 22
1/ réseaux et infrastructures d’anonymisation 22
2/ attaques ayant un objectif capacitaire 22
3/ utilisation des mêmes ressources ou capacités par des acteurs étatiques et des acteurs cybercriminels 24
C → MERCENARIAT ET PRESTATAIRES DE SERVICE 25
1/ entre commerce rentable et écosystème au service d’un état 25
2/ ciblage des appareils mobiles 25
3/ un marché en constante évolution face aux limites techniques et aux expositions médiatiques 26

III → FINALITÉ DES ATTAQUES 30

A → ATTAQUES À BUT LUCRATIF 31
1/ une activité cybercriminelle qui se maintient à un niveau élevé 31
2/ désorganisation de l’écosystème cybercriminel 31
3/ vols et fuites de données à l’encontre d’entités françaises 34
B → DÉSTABILISATION 37
1/ sabotage de petites installations industrielles 37
2/ une intensité accrue des attaques par ddos 38
3/ sabotage et pré-positionnement par des acteurs avancés 39
C → ESPIONNAGE 40
1/ ciblages liés à des intérêts stratégiques étatiques 40
2/ ciblage du secteur des télécommunications 42

→ BIBLIOGRAPHIE 44

3
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

INTRODUCTION

→ L’Agence nationale de la sécurité des systèmes

d’information (ANSSI) est l’autorité nationale en
matière de cybersécurité.
L’année a également été marquée par le nombre
et l’impact des vulnérabilités affectant les équipements
de sécurité situés en bordure de SI : plus de la moitié
des opérations de cyberdéfense de l’ANSSI, consti-
Le Panorama de la cybermenace est un document tuant son plus haut niveau d’engagement en réponse
publié annuellement, couvrant une période allant du à incident, ont ainsi eu pour origine l’exploitation de
1er janvier au 31 décembre de l’année précédente, dans vulnérabilités sur ces équipements.
lequel l’ANSSI revient sur les grandes tendances de
la menace informatique ainsi que sur les éléments et Du point de vue des moyens mis en œuvre par
incidents marquants dont elle a eu connaissance sur les attaquants, l’ANSSI a constaté la poursuite des
cette période. attaques visant la chaîne d’approvisionnement pour
atteindre des cibles finales d’intérêt. Ces attaques, qui
Principalement destiné à la sphère institution- sont en constante expansion depuis la fin des années
nelle et aux bénéficiaires de l’Agence, le Panorama de 2010, illustrent combien la maîtrise du SI, de ses inter-
la cybermenace s’adresse également à la communauté connexions et de ses dépendances est un enjeu majeur
française de la cybersécurité au sens large ainsi qu’aux pour les organisations.
partenaires internationaux de l’ANSSI.
En parallèle, l’utilisation des réseaux d’anonymi-
Écrit du point de vue de l’ANSSI, il ne constitue sation par les attaquants se poursuit. Ces réseaux de
pas une revue exhaustive de l’actualité de la cyber- machines compromises communiquant entre elles per-
sécurité française en 2024. Au-delà de son objectif mettent à un attaquant de dissimuler ses actions et
de sensibilisation à la menace pesant sur la sécurité rendre difficile leur imputation, à toutes les étapes de
des systèmes d’information, le Panorama illustre éga- l’attaque informatique. Ils constituent des infrastruc-
lement l’importance de l’application des mesures tures qui se développent, se complexifient et dont les
de sécurité. utilisateurs ne sont pas toujours clairement identifiables.
L’essor des entreprises privées de lutte informatique
Dans la continuité des années précédentes, offensive (LIOP) se poursuit quant à lui avec la mise à
l’ANSSI estime aujourd’hui que les attaquants liés à disposition à un éventail relativement large de clients,
l’écosystème cybercriminel ou réputés liés à la Chine et de capacités qui étaient jusqu’alors l’apanage des États
la Russie constituent les trois principales menaces tant les plus avancés en matière cyber.
pour les systèmes d’information (SI) les plus critiques
que pour l’écosystème national de manière systémique. Les attaques par rançongiciel ont largement mobi-
lisé les équipes de l’ANSSI en 2024 avec un nombre d’in-
L’année 2024 a été marquée par l’organisa- cidents comparable à l’année passée. Les attaques à
tion des Jeux Olympiques et Paralympiques de Paris but d’espionnage ont quant à elles été caractérisées
(JOP 2024), dont l’exposition médiatique et la surface par le ciblage soutenu d’équipements et d’infrastruc-
d’attaque ont constitué des opportunités majeures tures de télécommunications.
pour les attaquants. Dans ce cadre, l’ANSSI a observé
des attaques à des fins d’extorsion et d’espionnage Enfin, en plus des attaques à but d’espionnage et
stratégique, et une majorité d’attaques à but de dés- d’extorsion, qui restent les plus importantes en termes
tabilisation menées par des groupes hacktivistes sans d’investissement des équipes de l’ANSSI, 2024 a marqué
qu’aucune de ces attaques ne porte atteinte au dérou- une hausse des attaques à finalité de déstabilisation,
lement de l’événement. notamment opérées par des groupes hacktivistes. ←

Que faire en cas de compromission ? Le CERT-FR est joignable :

• Par courriel :
• Par téléphone :
→ à l’adresse cert-fr@[Link]
En cas de compromission → depuis la France métropolitaine
ou de suspicion de compromission, au 3218 (service gratuit + prix d’un appel)
le CERT-FR vous invite à prendre connaissance ou 09 70 83 32 18
de cette page : [Link] → depuis certaines collectivités territoriales
bons-reflexes-en-cas-dintrusion-sur-un-systeme- situées en outre-mer ou depuis l’étranger
dinformation/ au +33 9 70 83 32 18

4
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Comparatif du nombre d’incidents Répartition par région des incidents traités

et signalements 2023/2024 par l’ANSSI

Au cours de l’année 2024, l’ANSSI a traité – avec un Une observation de la répartition par région des
degré d’engagement variable – 4386 événements incidents traités par l’ANSSI au cours de l’année
de sécurité1, soit une augmentation de 15% par montre que la menace affecte tous les territoires
rapport à l’année 2023. mais reste proportionnelle à l’activité économique
et aux usages numériques de chaque région.
Ainsi, 3004 signalements2 et 1361 incidents3 ont
>10%
été portés à la connaissance de l’ANSSI. Cette
6% 6 à 10%
augmentation peut trouver une explication
0 à 5%
dans le contexte des JOP 2024, qui s’illustre par 3%
42% 5% Part des
une hausse des signalements et des incidents 3% incidents
à partir du mois de mai – date de l’arrivée de 4%
3%
la flamme olympique en France – jusqu’à la 3%
cérémonie de clôture des Jeux Paralympiques
en septembre, avec un pic de signalements
5% 6% 8%
atteint au mois de juillet.

600 7% 6%

1%

500 Seuls les incidents ayant affecté des bénéficiaires qui sont
présents uniquement dans ces territoires sont comptabilisés.
À noter qu'un certain nombre de bénéficiaires de l'Agence ont
leur siège social en région parisienne.

400
Capacités de détection de l’ANSSI

L’ANSSI opère un service de supervision au profit

300 des ministères comprenant à la fois des moyens
de détection réseau et système. En 2024, l’ANSSI
a adressé 162 signalements aux institutions
étatiques bénéficiant de ses services de détection.
200
Ces signalements ont couvert majoritairement les
domaines suivants4 :
• Communications suspectes vers des
100 infrastructures d’attaque, détectées à la fois
en temps réel et à travers des recherches
d’antécédents dans les journaux collectés ;
• Actions d’administration suspectes ou
0
utilisation d’outils légitimes connus comme étant
et
r

ril

ai

in

pt ût

re

régulièrement détournés par des attaquants ;

ie

ie

ar

br

br

br
ill
M
Av

Ju

ob
Se Ao
nv

vr

Ju

em

em

em
Fé

ct

• Exploitation ou tentative d’exploitation

Ja

éc
ov
O

D
N

de vulnérabilités ;
Signalements 2023 Signalements 2024 • Campagnes d’hameçonnage ciblant
Incidents 2023 Incidents 2024 certains ministères.

1 2 3 4
Événements portés Les signalements regroupent Un incident est un Les ministères
à la connaissance tous les comportements événement de sécurité où disposant d’un service
de l’ANSSI et qui anormaux ou inattendus l’ANSSI est en mesure de de détection traitent
ont donné lieu pouvant avoir un caractère confirmer qu’un acteur en complément
à un traitement malveillant ou ouvrir la voie malveillant a conduit des les alertes de
par les équipes à des usages néfastes à actions avec succès sur le SI leurs systèmes
opérationnelles. l’encontre d’un SI. de la victime. d’information.

5
 I →
OPPORTUNITÉS
POUR LES
ATTAQUANTS

Cette année, en complément des tradition- qu’ils soient soutenus par des États cherchant à
nelles faiblesses affectant le niveau de sécurité des SI espionner ou à déstabiliser, les grands événements
et des vulnérabilités techniques faisant l’objet d’une offrent des motivations et des opportunités supplé-
attention accrue de la part de nombreux acteurs, mentaires pour agir.
les Jeux Olympiques et Paralympiques de Paris 2024 Si en 2024 l’attention et les enjeux ont été princi-
(JOP 2024) ont constitué une opportunité conjonc- palement tournés vers les JOP 2024, l’année a aussi été
turelle de premier plan pour des acteurs aux moti- marquée par plusieurs processus électoraux, notam-
vations politiques. ment les élections européennes puis législatives en
Pour les attaquants, qu’ils soient à la recherche France pendant lesquelles aucune attaque majeure
d’une vitrine dans un contexte très médiatisé, ou n’a été observée.
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

A
JEUX OLYMPIQUES ET PARALYMPIQUES
DE PARIS 2024

→ En raison de leur exposition mondiale et des flux

financiers importants qu’ils génèrent, les JOP
constituent une cible de choix pour des attaquants
Malgré une intensité élevée, aucune attaque
informatique n’a perturbé le bon déroulement des
JOP 2024. Comme attendu, des tentatives de dés-
aux motivations diverses. Ceux-ci peuvent chercher à tabilisation, de l’espionnage et des attaques à but
s’enrichir au travers d’activités cybercriminelles, per- lucratif ont été observés.
turber le déroulement de l’événement ou nuire à la
réputation du pays hôte sur la scène internationale. • L’ANSSI n’a pas constaté de ciblage spéci-
En amont des JOP 2024, le Comité d’organisation des fique ou massif des JOP par des acteurs cybercri-
Jeux Olympiques (COJO) avait ainsi indiqué s’attendre minels. Compte tenu du nombre d’entités liées aux
à huit à dix fois plus de cyberattaques qu’aux Jeux de JOP 2024, l’activité cybercriminelle a été habituelle
Tokyo et estimé que le niveau de la menace allait être et les attaques par rançongiciel observées pendant
multiplié par dix. Dans ce contexte tendu, l’ANSSI et la période des Jeux n’ont pas eu d’incidence sur la
l’ensemble des entités impliquées dans l’organisation tenue des épreuves.
des JOP 2024 ont mis en œuvre d’importants travaux Deux attaques majeures par rançongiciel ont
de préparation [01]. été observées pendant cette période :
Dans son évaluation de la menace ciblant les → Début août 2024, le réseau du Grand Palais —
JOP 2024 [02], l’ANSSI avait anticipé : Réunion des Musées Nationaux (RMN) a été compro-
mis au moyen du rançongiciel BrainCipher. Un logiciel
• Un niveau élevé de menace à moti- commun à plusieurs musées a été rendu indisponible,
vation lucrative : escroqueries « clas- mais la compromission n’a pas eu d’incidence sur la
siques », tentatives d’extorsion, vols tenue des épreuves se déroulant dans l’enceinte du
de données ou attaques opportu- site d’épreuves du Grand Palais, entité distincte du
nistes tirant profit du besoin impor- Grand Palais RMN. Le réseau affecté ne possédait
tant de disponibilité des services pas d’interconnexion avec les SI permettant la tenue
informatiques ; des épreuves.
→ Le 11 août, l’Université Paris-Saclay a contacté
• Un niveau important de menace l’ANSSI pour signaler sa compromission par le ran-
à visée de déstabilisation : attaques çongiciel WhiteRabbit. Le laboratoire antidopage
visant à perturber l’organisation des français (LADF), hébergé au sein de l’université a, à
Jeux et attenter au bon déroule- cette occasion, fait l’objet d’une attention particu-
ment des épreuves sportives, parmi lière par l’ensemble des parties prenantes. Toutefois,
lesquelles le sabotage informatique, le cloisonnement des SI et la mise en œuvre rapide
mais aussi les attaques par déni de de mesures de secours ont permis de préserver l’in-
service distribué (DDoS), les défigura- tégrité des analyses et d’assurer la poursuite des acti-
tions de sites Web ou les divulgations vités du laboratoire pendant les Jeux Paralympiques.
de données ;
• Des opérations de déstabilisation ont été
• Un niveau moyen de menace à but observées par l’ANSSI pendant toute la période
d’espionnage : attaques conduites par des JOP 2024. Ces actions ont été principalement
un acteur potentiellement soutenu par menées par des groupes hacktivistes pro-russes et pro-
un État, ciblant par exemple une délé- palestiniens, dont certains pouvant être affiliés à des
gation étrangère ou un sous-traitant États, avec un recours constant à des attaques par
détenant des données sensibles. DDoS et des revendications d’exfiltration de données.

7
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Les attaquants ont exploité le contexte des JOP 2024 Tentative de déstabilisation
pour amplifier la portée médiatique de leurs actions, dans le cadre des JOP 2024
dans un contexte géopolitique dense : guerre en
Fin juillet, Viginum a identifié une opération
Ukraine, guerre au Proche-Orient et arrestation par
d’influence et de déstabilisation à l’encontre
la justice française de Pavel Durov, PDG et fondateur
des JOP 2024 et de la délégation israélienne à
de la messagerie Telegram. Certaines revendications l’aide de profils hacktivistes réputés iraniens [04].
d’exfiltration de données ont concerné des entités
liées à l’organisation des JOP 2024, sans que cela ne Dans ce cadre, une tentative notable de
corresponde à des incidents significatifs. Le 31 juil- compromission à des fins de déstabilisation
let 2024, LulzSec Muslims a notamment revendiqué a été recensée : le 25 juillet 2024, la veille
une exfiltration de données appartenant au Comité de la cérémonie d’ouverture des JOP 2024,
national olympique et sportif français (CNOSF). Le l’ANSSI a été informée de la compromission
groupe justifiait son attaque en réaction à la céré- d’une entreprise opérant la gestion de bornes
d’affichage publicitaire. Le mode opératoire
monie d’ouverture des JOP 2024.
d’attaque (MOA) Haywire Kitten, opéré selon
le FBI par l’entreprise iranienne Emennet
À l’étranger, l’attaque à but de déstabilisation Pasargad au profit du Corps des gardiens
la plus remarquée fut l’exfiltration, en juillet 2024, de de la révolution islamique [05], aurait tenté,
données de l’Agence antidopage polonaise POLADA infructueusement, de détourner les bornes
(Polish Anti-Doping Agency) par les opérateurs du gérées par l’entreprise dans le but d’afficher
MOA réputé russe UNC1151. Le 6 août 2024, les don- des photomontages dénonçant la participation
nées exfiltrées des SI de POLADA ont été divulguées des athlètes israéliens aux JOP 2024. Une fois
par le groupe hacktiviste pro-russe Beregini, en coopé- découverte, l’attaque a pu être rapidement
ration avec le groupe hacktiviste Zarya. Cette reven- enrayée grâce au travail de l’ensemble de
l’écosystème français impliqué dans la
dication visait à dénoncer la lutte contre le dopage
cybersécurité des JOP 2024 [06].
comme un chantage à l’encontre des pays qui mènent
une politique opposée à celle des États-Unis. Les don-
nées divulguées incluaient notamment des données
personnelles et médicales d’athlètes, des contrôles
antidopage échoués, des éléments d’enquête liés à
des laboratoires chimiques illégaux, et des mots de
passe. Le même mois, POLADA a déclaré que des
informations relatives à des tests d’athlètes polonais
divulgués avaient été manipulées, vraisemblablement
à des fins de désinformation [03].

• Même si l’ANSSI avait estimé possible la

conduite d’opérations d’espionnage à l’encontre des attaque à visée d’espionnage, probablement menée
JOP 2024, celles-ci ne représentaient pas de menace par un MOA réputé chinois. Les analyses de l’ANSSI
pour la bonne tenue des épreuves sportives dans la ont mis en évidence des activités malveillantes datant
mesure où elles ne portaient atteinte ni à la dispo- d’au moins 2022, révélant un pré-positionnement
nibilité ni à l’intégrité des systèmes et des données. de l’attaquant très en amont sur le SI de l’entité.
L’ANSSI a traité la compromission d’une entité Détectée avant le début des Jeux, cette intrusion
impliquée dans la tenue des JOP 2024 ciblée par une n’a pas provoqué de perturbation sur leur déroulé. ←

8
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

B
FAIBLESSES TECHNIQUES

→ Si l’actualité et les grands événements offrent

aux attaquants des moments propices pour
agir, les faiblesses techniques exposées par les SI
2/ DURCISSEMENT DU SYSTÈME
D’INFORMATION

leur fournissent quant à elles des opportunités L’ANSSI constate qu’un nombre important de ses
constantes. Comme les années précédentes, l’ANSSI bénéficiaires a recours à des produits ou services de
observe ainsi que des attaquants aux compétences détection d’incidents de sécurité. Toutefois, ces dis-
variables sont en mesure d’exploiter les vulnérabili- positifs n’atteignent leur plein potentiel que lorsque
tés de SI dont le niveau de sécurité est insuffisant. le SI a fait l’objet d’une sécurisation, avec en particu-
Le durcissement des SI et leur maintien en condition lier l’application de mesures de défense en profon-
de sécurité permettent de réduire la surface d’at- deur. D’une part, ces mesures permettent de ralen-
taque et les opportunités de latéralisation suivant tir la progression de l’attaquant et de réagir avant
le principe de défense en profondeur5. qu’il n’ait obtenu des privilèges élevés sur le SI, facili-
tant donc son éviction. D’autre part, elles rendent les
1/ RAPPEL DU TRIPTYQUE DES BONNES tentatives de latéralisation plus complexes, générant
PRATIQUES DE SÉCURITÉ DES SYSTÈMES ainsi de meilleures opportunités de détection. Enfin,
D’INFORMATION (SSI) elles permettent de limiter drastiquement les consé-
quences de la compromission du poste utilisateur, qui
L’ANSSI rappelle que les bonnes pratiques pour est par nature un élément très exposé du SI.
protéger les SI et les maintenir en condition de sécu-
rité se déclinent au travers des actions suivantes : Selon ce principe, la priorité doit donc être
1. La sécurisation constitue la première ligne de donnée à la sécurisation de l’actif le plus critique du
défense. Elle vise à prévenir les attaques en réduisant SI : l’annuaire d’authentification (ou le tenant dans
l’exposition du SI et les possibilités de latéralisation, le cas de l’utilisation de services nuagiques), le plus
notamment au travers d’actions de durcissement, souvent un annuaire Active Directory6.
et à contraindre un attaquant à faire usage de tech-
niques ou d’outils susceptibles de générer des évé- S’il est essentiel, le durcissement de l’annuaire
nements journalisés ; Active Directory ne permet pas de se prémunir de
2. La supervision permet de détecter une acti- l’ensemble des attaques. Des incidents aboutissant
vité malveillante au travers de l’analyse des journaux au déploiement d’un rançongiciel ont notamment pu
système, applicatifs ou réseau et de lever les alertes le être observés dans les cas suivants :
plus tôt possible dans la progression d’un attaquant ; • L’exploitation de la vulnérabilité Zerologon sur
3. La réponse à incident intervient en dernier les contrôleurs de domaine Active Directory dont la
lieu et comprend la gestion de crise, les investiga- version n’est pas à jour, permettant la compromission
tions numériques et la remédiation. L’ANSSI a publié de l’ensemble du SI [08] ;
en 2024 trois guides dédiés aux volets stratégique, • L’absence de gestion du mot de passe du
organisationnel et technique de la remédiation [07]. compte administrateur local des serveurs et postes
de travail Windows, permettant également une laté-
Les coûts de sécurisation du SI et de mise en ralisation. Certaines solutions (comme le service LAPS
place d’une supervision, qui permettent de limi- de Microsoft) permettent de se prémunir de ce risque ;
ter significativement le risque de survenue d’un • Le détournement de l’usage légitime d’ap-
incident de sécurité et de limiter sa gravité et son plicatifs métier ou de gestion de parc mal configu-
impact, sont souvent largement inférieurs à ceux de rés ou vulnérables (outils de sauvegarde, de déploie-
la remédiation. ment de mises à jour ou de prise en main à distance,

5 6
Ces mesures peuvent inclure le durcissement L’annuaire Active Directory, centre névralgique de la
des configurations, la mise en place de bonnes sécurité des systèmes d’information Microsoft, est un
pratiques d’administration ou encore la mise en élément critique permettant la gestion centralisée de
place de segmentation réseau. comptes, de ressources et de permissions. L’obtention
de privilèges élevés sur cet annuaire entraîne une prise
de contrôle instantanée et complète de toutes les
ressources ainsi administrées.

10
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Mauvaises pratiques systémiques de configuration

des annuaires Active Directory
consoles antivirales ou EDR, etc.), permettant de
compromettre une proportion significative d’un SI. Les mauvaises pratiques de configuration des annuaires
Active Directory décrites ci-dessous sont un point
Le premier exemple illustre la nécessité de commun à de nombreux SI ayant été victimes d’attaques
maintien en condition de sécurité des éléments cri- informatiques, en particulier de chiffrement par un
tiques du SI. L’ANSSI constate qu’une part impor- rançongiciel. En effet, des outils largement disponibles
tante de ses bénéficiaires ayant un SI en environne- permettent de faciliter leur exploitation.
ment Microsoft dispose de serveurs et de postes de • Comptes privilégiés ayant l’attribut
travail dans une version obsolète ou prochainement ServicePrincipalName (SPN) positionné : L’attribut SPN
permet d’associer des noms de service Kerberos10 à des
en fin de support :
• 82% des postes de travail7 des organismes uti-
comptes Active Directory. Lorsqu’un compte possède
un nom de service Kerberos, n’importe quel utilisateur
lisateurs du service ADS de l’Agence utilisent le sys- authentifié peut demander un ticket Kerberos pour
tème d’exploitation Windows 10, dont la fin de sup- ce service, et ainsi réaliser une attaque par force brute
port est prévue le 14 octobre 2025 (hors version LTSC pour obtenir le mot de passe du compte (attaque
et support étendu). L’ANSSI recommande d’initier couramment appelée Kerberoasting). Compte tenu
les travaux de migration vers Windows 11 au plus tôt. de ces risques, l’attribut SPN ne devrait être positionné
• 36% des serveurs Windows des organismes que sur des comptes de service non privilégiés.
utilisateurs du service ADS se trouvent dans une • Comptes à hauts privilèges dont le mot de passe
version obsolète (Windows Server 2012R2 ou infé- est inchangé depuis plus de 3 ans : Les mots de passe
des comptes à hauts privilèges doivent être changés
rieur). L’ANSSI recommande de mettre à jour vers
à une fréquence régulière de maximum 3 ans pour
la version la plus récente du système d’exploitation que ces secrets soient connus uniquement par les
afin de bénéficier de la plus grande période de sup- administrateurs actuels. L’ANSSI constate régulièrement
port possible. des mots de passe de comptes à hauts privilèges
inchangés depuis 15, 20 voire 25 ans et dont la
Parmi les mesures de défense en profondeur, la complexité ne répond pas aux exigences actuelles.
segmentation réseau interne est un moyen efficace • Permissions d’enrôlement sur les modèles ou
pour réduire les possibilités de latéralisation de l’at- conteneurs de certificats : Ce type de vulnérabilité est
taquant et faciliter la détection d’actions malveil- lié à une mauvaise configuration de l’infrastructure de
lantes. Elle peut notamment être mise en œuvre par gestion de clé Microsoft AD-CS permettant de générer
des certificats de sécurité. Ainsi, un demandeur peut
l’utilisation de mécanismes réseau tel que le VLAN
générer un certificat valable pour l’authentification
privé8, associé à des règles de filtrage. Windows pour n’importe quel compte de l’annuaire,
y compris les comptes à hauts privilèges.
Les moyens d’authentification constituent éga- • Permissions dangereuses : Les permissions d’un
lement un élément central de la sécurisation du SI. compte non privilégié vers des membres de groupes
L’ANSSI constate que certains moyens d’authentifica- privilégiés, vers les contrôleurs de domaine, vers la
tion comme le TOTP9 ou l’utilisation d’une application racine des naming contexts ou vers les objets de GPO
tierce sont désormais contournés par les attaquants s’appliquant aux membres des groupes privilégiés
au moyen de nouvelles techniques (voir par exemple permettent à un attaquant qui compromettrait ce
[09]). Il convient de préférer une authentification forte compte de prendre le contrôle d’un élément critique
de l’annuaire, et ainsi compromettre l’ensemble du SI.
utilisant l’emploi de certificats ou de clés de sécurité.
L’ensemble de ces vulnérabilités est vérifié par le service
Enfin, l’ANSSI rappelle l’importance de disposer ADS ([Link] proposé par l’ANSSI
de sauvegardes, y compris hors ligne. ← à ses bénéficiaires [10].

7 8 9 10
Disposant d’un Private VLAN ou TOTP : « Time- Kerberos est un protocole
support Microsoft. PVLAN, technique de based One-time d’authentification reposant
segmentation réseau Password », mot sur l’utilisation de tickets
qui permet de limiter les de passe à usage pour accéder à des services,
communications entre unique basé sur couramment utilisé en
équipements reliés à un le temps. environnement Microsoft.
même commutateur.

11
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

C
VULNÉRABILITÉS EXPLOITÉES

→ L’exploitation de vulnérabilités, en particulier

sur les équipements exposés sur Internet, est
un des principaux vecteurs d’intrusion utilisés par
tion, en raison de l’apparition de plus en plus rapide
de preuves de concept ou de codes d’exploitation
publics11. Or, l’ANSSI constate que des vulnérabilités
les attaquants. L’année 2024 a ainsi été marquée par sont encore exploitées par des attaquants plusieurs
des campagnes d’exploitation massive de vulnérabi- mois après la mise à disposition de correctifs.
lités affectant des équipements de sécurité situés en
bordure de SI. Par exemple, l’ANSSI a traité en 2024 la compro-
Le cadre légal a également évolué, avec la pro- mission et le chiffrement par le biais d’un rançongi-
mulgation de la loi de programmation militaire 2024- ciel d’une entité du secteur des télécommunications.
2030, qui oblige notamment les éditeurs à signaler à Un équipement de bordure – un pare-feu Palo Alto
l’ANSSI les vulnérabilités significatives découvertes vulnérable à la CVE-2024-3400 (voir focus page 14) –
dans leurs logiciels. a été la cible de multiples tentatives de connexions
par les attaquants pendant plusieurs mois. Une fois
1 ÉQUIPEMENTS DE BORDURE ET l’équipement compromis, ceux-ci ont exploité cet
DE SÉCURITÉ : DES CIBLES DE CHOIX accès pour se latéraliser sur le SI. L’incident a affecté
le fonctionnement nominal de l’entité victime pen-
Dans la continuité de l’année 2023 [01], l’ANSSI a dant plusieurs semaines et a nécessité de lourds tra-
constaté en 2024 une intensification de l’exploitation vaux de reconstruction. Dans ce cas, il est à noter que
de vulnérabilités affectant des équipements exposés l’exploitation de la vulnérabilité a eu lieu plus de deux
sur Internet, parmi lesquels figurent des équipements mois après la publication d’un correctif par l’éditeur
de sécurité mis en place par de nombreuses entités ainsi que d’une alerte par le CERT-FR.
pour sécuriser l’accès distant à leur SI (par exemple
des pare-feux ou des passerelles VPN). Durant l’an- Enfin, l’ANSSI a également traité plusieurs cas de
née 2024, l’ANSSI a eu connaissance de la compro- compromissions faisant suite à l’exploitation de vul-
mission en France de plusieurs milliers d’équipements nérabilités de type jour-zéro, comme la vulnérabilité
de bordure, et traité plusieurs dizaines d’incidents CVE-2024-47575 affectant le produit Fortinet
de sécurité liés à l’exploitation de vulnérabilités logi- FortiManager.
cielles sur ces équipements qui constituent des cibles
attractives pour les attaquants (voir focus page 14). Lorsque la publication d’un code d’exploitation
pour une vulnérabilité est antérieure à l’application
L’ANSSI observe que de nombreux acteurs réa- du correctif sur le système, ou que la vulnérabilité
lisent des opérations de balayage réseau sur ces équipe- est de type jour-zéro, il est indispensable de réaliser
ments à la recherche de vulnérabilités à exploiter. Ces des investigations sur l’équipement pour s’assurer
scans, très réguliers et étendus, permettent de recher- que la vulnérabilité n’a pas déjà été exploitée. À titre
cher de manière systématique les équipements expo- d’exemple, en 2024, l’ANSSI a réalisé une campagne
sés qui n’ont pas été mis à jour et peuvent amener à de signalement relative à une vulnérabilité affectant
des exploitations opportunistes de vulnérabilités. Afin le produit FortiEMS de Fortinet (CVE-2023-48788).
de se protéger de leur exploitation, il importe donc La réaction rapide d’un bénéficiaire dont l’équipe-
d’appliquer les correctifs le plus rapidement possible. ment était vulnérable a permis de découvrir la com-
promission de ce dernier, et d’empêcher la latérali-
En effet, les vulnérabilités affectant les équi- sation de l’attaquant. Ce cas fréquent illustre l’utilité
pements de sécurité en bordure de SI sont souvent des investigations lorsqu’un équipement vulnérable
exploitées dans un délai très court après leur publica- a été exposé sur Internet.

11
La description détaillée de l’exploitation De même pour les vulnérabilités
de la vulnérabilité CVE-2024-22024 affectant CVE-2024-24919 et CVE-2024-3400,
plusieurs produits de sécurité Ivanti a ainsi affectant respectivement plusieurs produits
été publiée deux jours seulement après CheckPoint et Palo Alto, dont la méthode
publication de l’avis de vulnérabilité d’exploitation a été publiée quatre jours
de l’éditeur. seulement après l’avis de l’éditeur.

12
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Incidents issus de l’exploitation Ce phénomène se trouve en outre aggravé

de vulnérabilités sur des équipements par la confiance accordée à ces équipements,
de bordure et de sécurité. susceptible de diminuer chez leurs
utilisateurs le respect des bonnes pratiques
Les vulnérabilités les plus exploitées dans habituelles, et l’exposition trop fréquente
les incidents traités par l’ANSSI se trouvent dans d’interfaces d’administration sur Internet.
le tableau ci-contre, par ordre décroissant.
Il convient donc de rappeler que ces
Il est particulièrement notable que les neuf équipements ne sont pas forcément bien
vulnérabilités les plus exploitées en 2024 sécurisés par défaut et que, du fait du potentiel
affectent des équipements de sécurité en qu’ils ont pour les attaquants, ils doivent
bordure de SI. L’ANSSI a publié un retour impérativement faire l’objet d’un effort
d’expérience sur ces campagnes ciblant les particulier d’administration et de supervision.
principales solutions de pare-feux, passerelles Par ailleurs, certains de ces équipements de
VPN ou passerelles de filtrage en juin 2024 sécurité ne proposent pas nativement des
[11], incluant des mesures de prévention et de fonctionnalités d’audit, de supervision et de
durcissement. Il met en évidence l’importance réponse suffisantes.
de la maîtrise de ces équipements par les
organisations, que ces dernières les mettent en
œuvre pour leur propre compte, pour le compte
de clients ou qu’elles en délèguent la mise en
œuvre à des prestataires ou sous-traitants.
La responsabilité de la supervision et du
maintien en condition de sécurité de ces
équipements doit être clairement établie
et connue de tous.

Cette tendance peut s’expliquer par plusieurs

caractéristiques qui font de ces équipements
des cibles de choix :
• une surface d’attaque rendue importante
par l’accumulation au cours du temps de
nombreuses fonctionnalités, dont certaines
reposent sur des briques logicielles obsolètes ;
• une exploitation de vulnérabilité
généralement assez simple,
fiable et reproductible ;
• un potentiel de compromission du SI en
profondeur en raison de leur position privilégiée
et de leur adhérence à d’autres briques
logicielles (Active Directory par exemple) ;
• une exposition permettant une
identification de leurs vulnérabilités
potentielles par des scans.

14
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

SCORE
CVE ÉDITEUR RISQUE RÉFÉRENCE CERT-FR
CVSS3.x

CVE-2024-21887 9,1

Exécution de code arbitraire à distance,

contournement d’authentification et CERTFR-2024-ALE-001
CVE-2023-46805 8,2 IVANTI de politique de sécurité, accès à des CERTFR-2024-AVI-0109
ressources restreintes sur différentes CERTFR-2024-AVI-0085
passerelles de sécurité et de VPN

CVE-2024-21893 8,2

PALO ALTO Exécution de code arbitraire à distance CERTFR-2024-ALE-006

CVE-2024-3400 10,0
NETWORKS sur différents équipements de sécurité CERTFR-2024-AVI-0307

Exécution de code arbitraire à distance CERTFR-2022-ALE-012

CVE-2022-42475 9,8 FORTINET
sur différentes passerelles VPN SSL CERTFR-2022-AVI-1090

CVE-2024-8963 9,4
Exécution de code arbitraire à distance et CERTFR-2024-ALE-013
IVANTI contournement de la politique de sécurité sur CERTFR-2024-AVI-0796
différentes passerelles de sécurité et de VPN CERTFR-2024-AVI-0917
CVE-2024-8190 7,2

Exécution de code arbitraire à distance CERTFR-2024-ALE-014

CVE-2024-47575 9,8 FORTINET
sur différents équipements de sécurité CERTFR-2024-AVI-0917

Exécution de code arbitraire à distance CERTFR-2024-ALE-004

CVE-2024-21762 9,8 FORTINET
sur différents équipements de sécurité CERTFR-2024-AVI-0108

CVE-2021-44228 10,0 APACHE Exécution de code arbitraire à distance CERTFR-2021-ALE-022

CERTFR-2024-ALE-008
CVE-2024-24919 8,6 CHECK POINT Atteinte à la confidentialité des données
CERTFR-2024-AVI-0449

Avertissement :
ce classement ne comptabilise que
les événements pour lesquels l’ANSSI ou
un prestataire d’investigations numériques
a pu confirmer avec un haut degré de
certitude l’exploitation d’une vulnérabilité.
Les vulnérabilités appartenant à la même
chaîne d’exploitation apparaissent groupées.

15
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

2 ACTEURS EXPLOITANT LES Exploitation des vulnérabilités

VULNÉRABILITÉS DANS DES ÉQUIPEMENTS dans les équipements Ivanti CSA
DE SÉCURITÉ EN BORDURE
En 2024, l’ANSSI a observé un attaquant
employant des tactiques, techniques et
Les vulnérabilités affectant les équipements
procédures (TTP) similaires à UNC517412,
de sécurité en bordure de SI sont utilisées par une exploiter des vulnérabilités dans le produit
large gamme d’acteurs. Les attaquants soutenus par Cloud Service Appliance (CSA) commercialisé
des États et disposant de capacités de recherche par Ivanti. En particulier, l’exploitation
ou d’achat de vulnérabilités les exploitent tradi- successive des vulnérabilités CVE-2024-8963,
tionnellement de manière ciblée. Toutefois, ces CVE-2024-9380 et CVE-2024-8190 a permis à
dernières années, l’ANSSI a observé la multiplica- cet attaquant d’exécuter du code arbitraire à
tion de campagnes d’espionnage à large échelle distance sur les équipements Ivanti CSA.
reposant sur l’exploitation massive de vulnérabili- La vulnérabilité jour-zéro CVE-2024-8190 a été
exploitée plusieurs jours avant la publication de
tés dans des équipements de bordure, suivies de
l’avis de sécurité par Ivanti.
phases de post-exploitation sélectives selon la vic-
time. Certains acteurs cybercriminels avancés dis- Les investigations effectuées par l’ANSSI sur
posent également de capacités d’acquisition de vul- les SI de plusieurs entités victimes indiquent
nérabilités, et réalisent des campagnes d’exploita- l’utilisation – pour la compromission initiale –
tion massive à des fins d’extorsion. Enfin, lorsque d’un même mode opératoire des attaquants
des codes d’exploitation sont rendus publics, les (MOA). Ce dernier, dont les techniques
vulnérabilités sont exploitées de manière large et présentent un niveau de sophistication et
opportuniste par de nombreux acteurs, majoritai- de discrétion modéré, se caractérise par
rement cybercriminels. l’usage d’un arsenal d’outils d’intrusion
majoritairement disponibles en sources
ouvertes, ainsi que par l’usage d’un code
Ainsi, certaines vulnérabilités peuvent être
de type rootkit13 dont l’utilisation a déjà été
exploitées d’abord par un acteur étatique de rapportée publiquement [12].
manière ciblée (par exemple en tant que vulnéra-
bilité jour-zéro), puis massivement par ce même Toutefois, les activités de post-exploitation
acteur lorsque l’exploitation de la vulnérabilité est divergent selon les incidents traités, ce qui
détectée, et enfin par l’ensemble de l’écosystème crédibilise l’hypothèse d’un MOA employé
lorsque la vulnérabilité et un code d’exploitation dans l’objectif d’obtenir des accès initiaux, qui
sont rendus publics. seraient ensuite vendus ou confiés à d’autres
opérateurs.
3 ÉVOLUTIONS RÉGLEMENTAIRES
ET COORDINATION DU TRAITEMENT
DES VULNÉRABILITÉS PRODUIT

Plusieurs évolutions réglementaires en cours

visent à améliorer la sécurité des produits et la prise
en compte des vulnérabilités. L’adoption du Cyber
Resilience Act14 (CRA) par l’Union européenne en
octobre 2024 a pour objectif de définir des exi-
gences minimales de cybersécurité pour l’ensemble

12 13 14
Mode opératoire nommé par l’éditeur Ensemble de programmes malveillants Règlement (UE) 2024/2847 du Parlement
américain Mandiant, qui agirait selon ce permettant de maintenir un accès illégitime européen et du Conseil du 23 octobre 2024
dernier comme sous-traitant au profit du à hauts privilèges sur un système, et ayant concernant des exigences de cybersécurité
gouvernement chinois [83]. fréquemment une fonctionnalité de horizontales pour les produits comportant
dissimulation. des éléments numériques.

16
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

des produits comportant des éléments numériques, Nombre de dossiers de coordination

incluant les logiciels. Parmi celles-ci, on trouve la de vulnérabilités traités par le CERT-FR
prise en compte de la sécurité dès la conception des
produits, la mise en place de configurations sécu-
40
risées par défaut, la gestion automatisée des mises
à jour ou encore une obligation de signalement sur
40
les vulnérabilités [13]. 35

La France dispose également d’un dispositif

30 34
légal national encadrant les signalements de vulné-
rabilités et d’incidents affectant la sécurité des sys-
tèmes d’information des éditeurs et leur traitement
25
par l’ANSSI. Partageant certains objectifs du CRA,
ces dispositions seront confortées par l’entrée en
vigueur de ce dernier à partir de 2026. 20
22

Le CERT-FR, opéré par l’ANSSI, est chargé du

traitement coordonné des vulnérabilités avec les 15
16
parties intéressées (découvreur et éditeur du pro-
duit) jusqu’à leur correction. Cette activité est gran-
10
dissante au sein du CERT-FR, qui a traité 40 dossiers
de coordination en 2024.
7
5
Les vulnérabilités faisant l’objet d’un travail de
coordination peuvent être découvertes par l’ANSSI
0
dans le cadre de ses activités, rapportées par des
partenaires institutionnels, ou être issues de signa- 2020 2021 2022 2023 2024
lements adressés au CERT-FR.

Les signalants de vulnérabilités bénéficient

d’une protection prévue à l’article L. 2321-4 du Code
de la défense (CD) [14] lorsqu’ils agissent de bonne
foi et signalent à la seule ANSSI leur découverte. Le Ce dispositif légal a été renforcé en 2024 par
CERT-FR a reçu au total 236 signalements de vulnéra- l’introduction à l’article L2321-4-1 CD [15] d’une nou-
bilités en 2024. Ces signalements sont transmis par le velle obligation pour les éditeurs fournissant leurs
CERT-FR au propriétaire du service vulnérable (dans produits en France, de notifier à l’ANSSI les vulnéra-
le cadre d’une vulnérabilité affectant un service bilités significatives et les incidents affectant signi-
en production, comme un site Web) ou à l’éditeur ficativement la sécurité de leurs produits15. L’ANSSI
lorsque la vulnérabilité concerne un produit, en pro- dispose de plusieurs moyens d’action en cas de
tégeant l’identité du signalant et les circonstances non-respect de leurs obligations par les éditeurs :
de sa découverte. Pour les vulnérabilités produit, le émission puis publication d’une injonction, com-
CERT-FR peut proposer son service de coordination munication aux utilisateurs ou encore publication
du traitement de la vulnérabilité. de la vulnérabilité. ←

15
Pour signaler une vulnérabilité
ou un incident :
ClubSSI – Faire une déclaration au CERT-FR
[Link]

17
 II →

MOYENS MIS EN
ŒUVRE PAR LES
ATTAQUANTS
Afin de tirer profit des nombreuses opportuni- les moyens d’anonymisation. L’arsenal offensif des
tés qui s’offrent à eux, les attaquants disposent de attaquants peut également être renforcé par l’acqui-
moyens et d’outils variés, allant de l’exploitation de sition d’outils conçus et développés par des entre-
vulnérabilités aux codes malveillants, en passant par prises de lutte informatique offensive privée (LIOP).
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

A
CIBLAGE DE LA CHAÎNE
D’APPROVISIONNEMENT
→ La chaîne d’approvisionnement (supply-chain)
d’un SI prend différentes formes (équipements,
logiciels, prestataires de service) qui offrent des pos-
Attaques par la chaîne
d’approvisionnement logiciel

Ce type d’attaque consiste à piéger un

sibilités d’attaque variées. Les attaques par la chaîne
logiciel dans l’objectif d’atteindre l’ensemble
d’approvisionnement permettent de compromettre
de ses utilisateurs. Plusieurs exemples aux
par rebond les organisations clientes d’un presta- conséquences importantes ont marqué
taire commun ou utilisant un même logiciel ou équi- l’actualité des dernières années, comme la
pement. Au-delà de leur diversité, leur furtivité les compromission de MeDoc en 2017 dans le
rend particulièrement efficaces et elles peuvent cadre de l’attaque NotPetya, celle du logiciel
faire l’objet d’un investissement ayant des retom- Orion de Solarwinds en 2020 ou encore de
bées significatives pour les attaquants. ← l’application 3CX Desktop App en 2023,
elle-même précédée de la compromission
du logiciel financier X_TRADER.

La majeure partie des attaques par la chaîne

d’approvisionnement logiciel est réalisée
en compromettant le SI d’un éditeur de
logiciel. Toutefois, il est également possible
de réaliser une telle attaque en ajoutant du
code malveillant dans un projet open source.
L’attaque ciblant le projet XZ Utils, utilisé dans
de nombreuses distributions Linux, en a été un
exemple particulièrement marquant en 202416.
L’attaque s’est déroulée sur environ trois ans,
permettant à son auteur d’obtenir la position
de co-mainteneur du projet et d’y introduire
des modifications malveillantes. Elle illustre
la complexité de la sécurisation de la chaîne
d’approvisionnement logiciel.

En janvier 2024, l’ANSSI a également été alertée

d’une fuite de données visant l’éditeur AnyDesk
Software, spécialisé dans le développement de
solutions logicielles de bureau à distance. Le code
source des applications développées par l’éditeur
ainsi que des certificats et clés privées pourraient
avoir été dérobés, et deux serveurs relais situés
en Europe auraient également été affectés par
l’incident. Si aucune preuve de l’altération des
logiciels distribués par AnyDesk n’a été établie,
cette attaque aurait pu avoir des conséquences
importantes compte tenu du type de logiciel
concerné et de sa large distribution. [16]

16
La version modifiée à des fins malveillantes
de XZ Utils permet d’altérer le
comportement de OpenSSH, et offre une
possibilité d’exécution de code à distance
sous certaines conditions.

19
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Attaques par la chaîne d’approvisionnement confiance et des potentielles interconnexions

via les prestataires de services informatiques informatiques entre une cible finale et
son environnement (prestataires, filiales,
Le principe d’une attaque par la chaîne etc.) afin d’atteindre leurs objectifs.
d’approvisionnement peut être aussi, cette fois-ci
via les prestataires de service, de compromettre Les groupes cybercriminels exploitent
des ressources d’un prestataire de service également le manque de maturité de certains
disposant d’accès sur le SI de la cible finale. prestataires de services dans leurs pratiques
Une fois le prestataire compromis, l’attaquant de sécurité. En 2024, de nombreuses entités
peut profiter des privilèges et ressources françaises victimes de fuites de données ont
dont le prestataire dispose sur le SI de cette été compromises au travers d’un prestataire
dernière. L’attaquant aura tiré profit du informatique [17]. Par ailleurs, en octobre
niveau de sécurité plus faible du prestataire 2024, un affilié du Ransomware as a Service
pour atteindre la cible finale de manière (Raas) 17 Qilin a compromis une entreprise
discrète, souvent difficile à détecter. d’infogérance menant au chiffrement ou à
l’exfiltration de données d’une trentaine de
L’ANSSI a traité plusieurs compromissions ses clients. L’attaquant aurait notamment tiré
d’entités importantes par ce moyen en 2024. profit du déploiement de solutions d’accès
à distance par l’infogérant chez ses clients
Par exemple, un sous-traitant informatique pour accéder et chiffrer des postes de travail
étranger intervenant au profit de plusieurs de ces derniers. Pour au moins l’un d’entre
grandes entreprises françaises a été eux, l’attaquant serait parvenu à se latéraliser
compromis en profondeur, permettant ainsi sur le SI, à y déposer des outils malveillants
à des attaquants de pénétrer les SI de ces et à en exfiltrer des données sensibles.
dernières. Au moyen d’accès légitimes – donc
difficilement détectables – les attaquants ont Ces événements (tentatives de compromission
pu consulter et exfiltrer des données d’intérêt. comme incidents) illustrent une tendance forte
observée par l’ANSSI : le gain d’expérience
L’ANSSI a également traité en 2024 une et de maturité de certaines organisations
tentative de compromission par chaîne pousse les attaquants à cibler les fournisseurs
d’approvisionnement touchant un industriel de services numériques (FSN) pour atteindre
français de pointe et faisant suite à la leurs cibles finales de manière plus discrète.
compromission de ressources métier fournies
par des prestataires. Si aucune latéralisation sur
le SI de la société française n’a été détectée,
l’ANSSI constate une forme de récurrence dans
les méthodes utilisées pour tenter d’atteindre
des entités stratégiques françaises. En effet, en
2015, cette même entité avait déjà été victime
d’un incident similaire après que les attaquants
se furent introduits sur les SI de filiales
récemment acquises. Ces exemples
témoignent de l’exploitation active par
certains acteurs malveillants des liens de

17
Modèle économique dans lequel un service
et des ressources sont fournis par un
individu ou un groupe dit « opérateur » à des
attaquants dits « affiliés » afin d’être utilisés
dans leurs propres attaques en échange d’un
pourcentage des rançons récupérées.

20
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

B
ÉVOLUTIONS DE L’OUTILLAGE ET
DES INFRASTRUCTURES D’ATTAQUE
1 RÉSEAUX ET INFRASTRUCTURES prises du secteur du numérique et de la cybersécu-
D’ANONYMISATION rité, en particulier au moyen du MOA réputé russe
Nobelium. L’objectif probable de ces attaques est
Ces dernières années ont été particulièrement d’obtenir des accès ou des informations permettant
marquées par le développement et l’utilisation des de réaliser des attaques ultérieures, par exemple par
réseaux d’anonymisation. la recherche de vulnérabilités, la réutilisation d’au-
thentifiants voire la préparation d’une attaque par
S’ils sont particulièrement prisés par les acteurs la chaîne d’approvisionnement logiciel. Néanmoins,
réputés liés à la Chine, des acteurs étatiques répu- il semble que dans certains cas les opérateurs aient
tés russes (notamment des MOA tels qu’APT28 ou également cherché à se renseigner sur l’état de la
Nobelium) ont utilisé ou utilisent aussi des réseaux de connaissance à leur sujet.
machines compromises à des fins d’anonymisation.
Ces réseaux peuvent être constitués de routeurs com- Le mode opératoire Nobelium, actif depuis
promis, de proxies ou de services VPN commerciaux. au moins octobre 2020 et réputé lié au service de
Les groupes d’attaquants réputés russes restent très renseignement extérieur russe (SVR) [21], est asso-
actifs dans le ciblage de messageries électroniques, cié à des campagnes d’attaques informatiques par
pour lequel ils ont développé des infrastructures d’at- hameçonnage ciblé, visant à collecter des rensei-
taques par force brute ou pulvérisation de mots de gnements stratégiques. Les victimes habituellement
passe18 et de nouvelles techniques d’hameçonnage. associées à ces campagnes appartiennent aux sec-
De la phase de reconnaissance s’appuyant sur des teurs gouvernementaux, notamment diplomatiques,
services VPN ou de proxy commercial, à l’utilisation en Europe dont en France, en Afrique, en Amérique
de services d’hébergement gratuits pour l’exposition du Nord et en Asie. Ce mode opératoire a ainsi
de pages d’hameçonnage, les opérateurs de ces MOA été employé contre des entités diplomatiques fran-
bénéficient d’infrastructures infogérées à moindre çaises à plusieurs reprises entre 2021 et 2023.
coût et prêtes à l’emploi. Par ailleurs, ces services
offrent une grande flexibilité dans la création et l'ad- D’après l’entreprise américaine Microsoft,
ministration de nouvelles ressources, et peuvent par- une partie des attaques associées à Nobelium a
tiellement reposer sur des infrastructures aussi uti- ciblé des entités du secteur du numérique dans
lisées à des fins légitimes par des particuliers et des le monde entier et notamment en Amérique du
entreprises, rendant complexes la distinction entre Nord et en Europe de l’Ouest. En novembre 2023,
un usage légitime ou pas et donc la détection et le Microsoft a fait part d’un incident de sécurité
suivi par les équipes de sécurité. Des groupes cyber- lors duquel les opérateurs de Nobelium ont exfil-
criminels emploient également de telles infrastruc- tré des courriers électroniques appartenant à ses
tures d’anonymisation. équipes juridiques et de cybersécurité, ainsi qu’à
des membres de son comité exécutif. En tant
L’ampleur de l’utilisation des réseaux d’anony- qu’éditeur de sécurité informatique, Microsoft est
misation par des attaquants réputés liés à la Chine un important contributeur à la connaissance en
rend l’étude de ceux-ci particulièrement nécessaire. sources ouvertes sur le mode opératoire Nobelium,
ainsi que sur les moyens d’entraver les attaques
2 ATTAQUES AYANT UN OBJECTIF CAPACITAIRE qui lui sont associées. D’après Microsoft, les opé-
rateurs de Nobelium ont notamment cherché lors
En 2023 et 2024, des attaquants liés à des inté- de la compromission de l’entreprise, des infor-
rêts stratégiques étatiques ont compromis des entre- mations liées au mode opératoire lui-même [22].

18
Ou password
spraying

22
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Utilisation de réseaux d’anonymisation Les campagnes d’attaques du MOA Volt

par des attaquants réputés liés à la Chine Typhoon, utilisé potentiellement à des
fins de pré-positionnement en vue de
Depuis 2022, l’utilisation de réseaux déstabilisation et attribué par les Five Eyes19
d’anonymisation par des MOA réputés chinois a à la Chine, se caractérisent également par
été observée dans le cadre de quatre opérations leur discrétion. Au-delà du recours au réseau
de cyberdéfense traitées par l’ANSSI. d’anonymisation KV Botnet, l’utilisation de
TTP particulièrement discrets, incluant
De leur côté, des éditeurs de sécurité l’usage de techniques de Living off the Land20
ont également documenté certains et la mise en œuvre de précautions de
de ces réseaux comme ORBWEAVER, sécurité opérationnelle, illustrent cette
SPACEHOP [18] ou KV Botnet [19]. volonté d’anonymisation. Les opérateurs du
MOA auraient, par exemple, évité d’utiliser
La particularité de ces réseaux d’anonymisation des identifiants de connexion en dehors
réside dans le grand nombre de machines des heures de travail considérées comme
impliquées et l’industrialisation de leur « standards » chez leurs cibles afin d’éviter
infection. Composés de plusieurs centaines, de générer des alertes de sécurité [20].
voire milliers, d’équipements compromis ou
loués, ils augmentent le coût de la défense
contre les attaques informatiques en faisant
évoluer les infrastructures attaquantes et
les TTP. L’utilisation d’équipements réseau
légitimes dans ces infrastructures complique
également la détection et le blocage, puisqu’il
est difficile de discriminer le trafic malveillant.

Ces réseaux d’anonymisation révèlent de

nouveaux paradigmes pour appréhender
la menace. Ils font évoluer l’idée que les
attaquants contrôlent l’intégralité des
infrastructures d’attaques. En effet, dans le cas
des réseaux d’anonymisation réputés chinois,
les infrastructures seraient administrées par
des entités indépendantes, des prestataires
ou des administrateurs localisés en République
Populaire de Chine (RPC). Elles ne sont pas
contrôlées par un groupe d’attaquants donné
et semblent être utilisées conjointement par
des groupes distincts. Cette évolution est
à mettre en parallèle du partage de codes,
d’infrastructures et de prestataires (de
manière institutionnalisée, commerciale ou
informelle) entre les différents MOA réputés
chinois, qui réduit également les possibilités
d’imputation à un MOA spécifique.

19 20
Le terme désigne l’alliance des services de Où il s’agit pour un attaquant d’utiliser
renseignement des États-Unis, de l’Australie, les outils déjà présents sur le système
de la Nouvelle-Zélande, du Royaume-Uni d’information ciblé. La détection et
et du Canada. l’investigation numérique ne peuvent alors
plus se faire en se fondant sur la recherche
d’outils spécifiques à l’attaquant.

23
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Les attaquants auraient donc eu pour intention de Les opérateurs du MOA réputé russe UNC5812 auraient
conduire une opération de contre-espionnage, vraisem- aussi utilisé le code malveillant pour Android CraxsRAT,
blablement afin de renforcer leur sécurité opérationnelle. d’origine cybercriminelle, pour cibler des entités mili-
taires ukrainiennes dans le contexte de l’offensive russe
En janvier 2024, l’entreprise américaine Hewlett en Ukraine [28].
Packard Enterprise a fait part d’une attaque vraisem-
blablement associée à Nobelium, contre son environ- Certains acteurs liés à des États déploieraient
nement de messagerie basé sur le cloud. Si les moti- également des rançongiciels soit pour rendre indispo-
vations des attaquants demeurent inconnues, ceux-ci nibles des données sensibles [29], soit comme couver-
auraient pu chercher à obtenir des informations rela- ture d’opérations d’espionnage plus ciblées. Depuis
tives à ces produits [23]. 2021, les éditeurs SentinelOne et Recorded Future
auraient observé plusieurs campagnes d’espionnage
Enfin, d’après un rapport conjoint des autori- menées par le groupe réputé chinois ChamelGang
tés polonaises, britanniques et américaines publié en menant au déploiement du rançongiciel CatB [30].
décembre 2023 [24], les opérateurs de Nobelium ont À deux reprises en 2024, l’ANSSI a observé l’utilisa-
mené une campagne d’exploitation à grande échelle de tion d’outils d’intrusion tels que PlugX ou Shadowpad,
la vulnérabilité CVE-2023-42793 affectant les serveurs généralement associés à des modes opératoires répu-
hébergeant le logiciel JetBrains, développé par l’entre- tés chinois, dans des attaques ayant abouti au chiffre-
prise TeamCity. Ce produit étant largement utilisé par ment du SI victime. Enfin, les groupes cybercriminels
les développeurs de logiciels, cette campagne aurait pu se sont professionnalisés et sont aujourd’hui capables
permettre de réaliser ensuite une attaque par la chaîne d’employer des techniques d’attaque sophistiquées et
d’approvisionnement logiciel. d’exploiter des vulnérabilités jour-zéro [31] [29].

3 UTILISATION DES MÊMES RESSOURCES OU Certains attaquants peuvent également cibler

CAPACITÉS PAR DES ACTEURS ÉTATIQUES et compromettre les capacités offensives d’autres
ET DES ACTEURS CYBERCRIMINELS acteurs malveillants, potentiellement pour dissimuler
leur propre activité. Les opérateurs du MOA Turla, attri-
En 2024, l’ANSSI continue d’observer une poro- bué en sources ouvertes au FSB russe, auraient ainsi
sité grandissante entre les différents profils d’atta- déjà exploité l’outillage et l’infrastructure d’au moins
quants. Premièrement, la recherche de furtivité et d’ef- six MOA différents dans le cadre de leurs attaques [32].
ficacité à moindre coût pousse l’ensemble des acteurs
malveillants à privilégier des outils commerciaux dis- Cette porosité dans les activités entre diffé-
ponibles en sources ouvertes ou des techniques de rents acteurs malveillants est accentuée par certains
Living off the Land (LoTL). Des MOA réputés chinois groupes qui agissent à la frontière entre différents
utiliseraient notamment les outils légitimes de proxy milieux. Le groupe mettant en œuvre le code malveil-
SOCKS5, ou encore le VPN SoftEther. lant RomCom aurait cette année encore mené plu-
sieurs campagnes à des fins tantôt d’espionnage straté-
Des codes et des services malveillants d’ori- gique, tantôt lucratives. Ces hypothèses découlent de
gine cybercriminelle sont également utilisés par des l’étude de la victimologie du groupe qui oscille entre
MOA réputés étatiques. Les Remote Access Trojan un ciblage spécifique à l’encontre d’entités gouverne-
(RAT) Remcos et DarkCrystal seraient ou auraient mentales et sensibles en Ukraine ou dans les pays de
été déployés à la fois par des groupes cybercriminels l’OTAN, et un ciblage plus opportuniste à l’encontre
et des acteurs réputés liés à la Russie [25] [26] [27]. d’entreprises privées de secteurs variés [33]. ←

24
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

C
MERCENARIAT ET PRESTATAIRES
DE SERVICE
1 ENTRE COMMERCE RENTABLE reils mobiles, elles ne s'y limitent pas mais couvrent
ET ÉCOSYSTÈME AU SERVICE D’UN ÉTAT au contraire un éventail de prestations allant de la
fourniture de services (voir focus page 28) à la mise
Tandis que le secteur de la LIOP continue sa à disposition de moyens d’attaque. La fuite de don-
croissance, l’ANSSI constate en parallèle le déve- nées concernant l’entreprise chinoise I-SOON donne
loppement d’un écosystème privé au sein des États, un aperçu de l’organisation que peuvent avoir de tels
notamment en Chine. De nouveaux acteurs appa- acteurs (voir focus page 27).
raissent également, en raison de la variété et de la
démocratisation des moyens d’attaque. 2 CIBLAGE DES APPAREILS MOBILES

Un exemple de la variété de ces moyens est Par leur omniprésence et leur usage systéma-
constitué par l’ADINT21, au travers duquel les failles tique, les appareils mobiles sont des équipements
du marché de la publicité sont exploitées. Afin de d’intérêt pour l’acquisition de renseignement d’ori-
récupérer les critères identifiants22 faisant l’objet de gine cyber. Les logiciels espions fournis par les entre-
la mise en relation entre l’offre et la demande sur prises de LIOP constituent une des menaces majeures
le marché publicitaire et permettant d’associer un pour leurs utilisateurs. Ces outils, officiellement
équipement à son utilisateur, les entreprises d’ADINT conçus pour lutter contre le terrorisme et la crimi-
internalisent des capacités d’annonceurs ou colla- nalité organisée, sont utilisés par certains États ou
borent avec eux. Il leur est ainsi possible de récolter par leurs services de renseignement dans l’objectif de
légalement des données sur un large ensemble d’in- surveiller des opposants politiques, des journalistes
dividus puis de les réutiliser dans le cadre d’opéra- et des ONG. L’utilisation de ces logiciels n’est par ail-
tions de surveillance ou d’espionnage [34] [35] [36]. De leurs pas limitée à de la surveillance interne puisque
plus, ces outils de géo-surveillance n’impliquant pas des cas d’espionnage de personnalités politiques et
la compromission de l’appareil ciblé, ils ne sont pas de gouvernements ont également été rapportés.
considérés comme des biens à double usage23. À ce La compromission des téléphones mobiles de deux
titre, les services ADINT peuvent être commercialisés députés française et bulgare siégeant au Parlement
plus facilement que les logiciels espions convention- européen et appartenant à la sous-commission sécu-
nels. Au-delà de ces objectifs de surveillance géogra- rité et défense fin 2023, témoigne de l’emploi de ces
phique, de récentes publications ont mis en évidence outils à des fins d’espionnage stratégique [44].
l’existence d’un nouveau type de technologie basé
sur l’ADINT, capable de compromettre des appareils Ce commerce d’outils de surveillance sophisti-
mobiles et des ordinateurs par la combinaison de l’en- qués profite principalement à des États. D’une part,
voi de publicités et de l’exploitation de vulnérabilités. ces outils permettent aux États qui ne disposent pas
Le simple affichage d’une publicité sur un téléphone en propre de ces technologies ou des capacités tech-
ciblé aboutirait à sa compromission24 [37]. niques pour les développer de mener des actions de
surveillance ciblée. D’autre part, ils fournissent aux
Aujourd’hui, l’écosystème privé est diversifié et États disposant des ressources nécessaires un moyen
rassemble des acteurs aussi variés que des entreprises pratique pour rendre beaucoup plus complexes les
privées, des mercenaires ou des attaquants louant processus d’imputation en facilitant la dissimulation
leurs services au plus offrant (hackers for hire) et des de leurs attaques [45]. Cet anonymat est par ailleurs
prestataires travaillant au profit d’États. Si ces activi- renforcé par la sophistication des chaînes d’infection.
tés ont été mises en lumière auprès du grand public au Les délais entre compromission et identification de
travers des espiogiciels et des attaques sur les appa- l’attaque ainsi que l’absence de persistance sur les

21 22 23 24
Contraction de advertising et Tels que les habitudes, Les biens à double usage sont Différents produits, tels que
intelligence (ou renseignement issu de les centres d’intérêt des biens sensibles, souvent Sherlock, Patternz ou Alladin,
la publicité). Il peut se définir comme ou bien encore destinés à des applications développés respectivement par les
la distribution massive ou spécifique le matériel utilisé. civiles, mais qui peuvent être sociétés INSANET, ISA SECURITY
de contenus publicitaires vers une ou utilisés à des fins militaires. et INTELLEXA, disposeraient de
plusieurs cibles à des fins de profilage À ce titre, leur exportation telles capacités [84].
et de géolocalisation. est soumise à autorisation.

25
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

appareils ciblés entravent significativement les ana- d’États, d’entreprises et de représentants de la société
lyses forensiques et les moyens de détecter ce type civile. Elle a donné lieu à une déclaration multipartite
d’outil et leur emploi. et vise notamment à l’élaboration d’un code de bonnes
pratiques pour l’utilisation de ce type d’outils. [46]
De ce fait, il convient de porter une atten-
tion particulière aux notifications des éditeurs, qu’il En parallèle, les publications relatives à ces
s’agisse d’une notification du constructeur du télé- entreprises et leurs activités se poursuivent. Plusieurs
phone27 ou de l’éditeur d’une application (de messa- éditeurs de sécurité et organisations internationales
gerie notamment). ont développé des capacités de suivi des infrastruc-
tures de certains logiciels espions qu’ils exposent
Une séparation stricte entre les usages profes- en sources ouvertes, diminuant par là même leurs
sionnels et personnels, ou l’emploi de moyens spé- capacités. Ces rapports obligent les entreprises de
cifiques à certains usages, reste déterminante pour LIOP à faire évoluer leurs infrastructures comme ce
espérer réduire l’exposition à ces menaces. Par ail- fut le cas pour l’entreprise Cytrox après les publica-
leurs, un redémarrage régulier du support peut per- tions par l’éditeur Sekoia d’un document traitant du
mettre de limiter les impacts d’une compromission logiciel espion Predator [47]. L’entreprise espagnole
non persistante, en forçant l’attaquant à réinfecter Variston aurait par ailleurs perdu une grande partie
le support. de son activité puis de ses salariés à la suite de l’expo-
sition par Google de la chaîne d’infection menant au
Enfin, l’activation de mécanismes de durcisse- déploiement de son logiciel espion [48] [49].
ment du système d’exploitation28 est à privilégier,
notamment pour les populations à risque. L’année 2024 a également été marquée par un
nombre croissant d’actions en justice intentées par
3 UN MARCHÉ EN CONSTANTE ÉVOLUTION des victimes de logiciels espions. Le procès opposant
FACE AUX LIMITES TECHNIQUES ET NSO Group à Meta pour sa plainte en 2019 démontre
AUX EXPOSITIONS MÉDIATIQUES la volonté des industriels de se protéger des capacités
des entreprises de LIOP. Des plaintes ont également
Le ciblage d’appareils mobiles requiert un niveau été déposées par des personnalités civiles : l’avocat
de sophistication élevé, notamment par l’emploi de catalan Andreu Van den Eynde Adroer, dont le smart-
techniques d’infection furtives (chaînes d’attaque ne phone avait été infecté par Pegasus en mai 2020, a
nécessitant pas d’action de la cible, dites « 0-click ») et porté plainte contre NSO Group en visant directe-
d’exploitation de vulnérabilités jour-zéro. Cependant, ment ses fondateurs ainsi que son directeur [50].
le temps de développement de ces vulnérabilités, leur
durée de vie et les contre-mesures prises par les gou- Malgré tout, le secteur de la lutte informatique
vernements et les industriels à l’encontre des logiciels privée reste attractif et ses entreprises s’adaptent et
espions constituent aujourd’hui autant de limites pour se réorganisent rapidement. Elles ont ainsi recours à
ces chaînes d’infection. En février 2024, le Royaume- des sociétés écrans ou des intermédiaires qui pro-
Uni et la France ont lancé le processus de Pall Mall, fitent de l’absence de régulation sur l’utilisation des
dialogue consacré à la lutte contre la prolifération biens à double usage pour s’implanter dans certains
et l’utilisation irresponsable des outils commerciaux pays disposant de législations favorables comme l’In-
d’intrusion cyber. L’initiative rassemble une coalition donésie et les Émirats arabes unis [51]. ←

27 28
À titre d’exemple, Le mode Isolement
Apple envoie des (Lockdown Mode)
notifications depuis en environnement
l’adresse iOS en est un
threat-notifications exemple [82]
@[Link]

26
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

La divulgation des données De ce mode de fonctionnement contractuel

de l’entreprise I-SOON, une plongée résulte une difficulté à relier les campagnes
dans l’écosystème offensif chinois d’attaques chinoises à leur donneur d’ordre.

Le 16 février 2024, un acteur inconnu, @iSOON Par ailleurs, cette divulgation illustre le
sur X (anciennement Twitter), a publié sur la niveau actuel de concurrence entre les
plateforme d’hébergement de projets et de entreprises de lutte informatique offensive
gestion de développement logiciel GitHub, des chinoises et leurs difficultés à émerger parmi
données appartenant à l’entreprise chinoise les acteurs majeurs du secteur à l’échelle
Sichuan I-SOON (ou I-SOON) Information nationale. Selon les extraits de conversations
Technology Co., Ltd. Si l’authenticité de internes divulgués, l’entreprise I-SOON est
ces documents paraît probable, il n’est pas contrainte de s’allier avec des entreprises
possible en l’état pour l’ANSSI de confirmer plus importantes dans le but de remporter
ou d’infirmer leur provenance. Selon des des appels d’offres. Cela se traduit par une
informations disponibles en sources ouvertes, activité offensive opportuniste et autonome,
l’entreprise est un prestataire du ministère de alignée sur les intérêts des autorités chinoises,
la Sécurité Publique (MSP), du ministère de la dans le but de vendre ces accès a posteriori
Sécurité de l’État (MSE) chinois, ainsi que de et ainsi remporter des contrats. En cela,
l’Armée populaire de libération (APL). Sur son la divulgation de données de l’entreprise
site Internet ou dans ses brevets enregistrés, I-SOON est révélatrice d’un fonctionnement
l’entreprise indique fournir notamment des peu documenté en sources ouvertes : il ne
logiciels de surveillance conçus pour collecter s’agirait plus exclusivement de victimes ciblées
des informations sensibles. Son PDG, Wu Haibo sur la base d’un contrat étatique, mais bien
(également connu sous l’alias shutd0wn) faisait d’un ciblage en vue d’un contrat et d’une
partie du groupe hacktiviste Honker Union rémunération par un ou plusieurs acteurs
fondé en 1999 qui a constitué la première gouvernementaux potentiellement intéressés.
génération « d’attaquants patriotiques » chinois.
C’est au travers de cette nouvelle grille
L’entreprise I-SOON est un acteur pleinement d’analyse de la menace que les éléments
intégré à l’écosystème de lutte informatique divulgués d’un ciblage extensif par l’entreprise
offensive (LIO) chinoise. Les documents et I-SOON d’au moins 45 pays, dont la France,
les conversations divulguées révèlent des peuvent être interprétés. À ce jour, le
liens contractuels, d’infrastructures et de ciblage par les MOA réputés chinois tel que
codes entre l’entreprise et plusieurs MOA constaté par l’ANSSI est cohérent avec cette
réputés chinois. Les objectifs de ciblage de analyse. L’ANSSI estime que cette capacité
ces MOA sont concordants avec les intérêts de prolifération est amenée à croître avec
de l’État chinois en matière d’espionnage et la maturation de l’écosystème informatique
de lutte contre les « Cinq Poisons » 25. Cette chinois : un écosystème qui tend à intégrer
divulgation de données met en exergue un cas la sphère publique, privée et universitaire
représentatif des liens de prestation de services dans un même effort de participation à la
avec différentes entités gouvernementales, « sécurité nationale » impliquant tant la lutte
que ce soit l’APL, le MSE ou le MSP, ainsi que informatique défensive qu’offensive.
le partage d’outils offensifs entre plusieurs
acteurs, visibles sur les tableaux de contrats
d’achats et de prestations divulgués.

25
Les militants pour l’indépendance de Taïwan, De fait, ces cinq entités apparaissent de
les Ouïgours, les Tibétains, le Falun Gong et manière récurrente dans la victimologie
les partisans de la démocratie sont des modes opératoires d’attaque réputés
les « Cinq Poisons » que le Parti communiste chinois, car elles sont considérées par le
chinois (PCC) juge menaçants pour la gouvernement comme des cibles prioritaires.
stabilité de son régime politique.

27
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Les Bullet Proof Hosters en mettant en avant l’absence de contrôle

sur les activités de leurs clients, l’ANSSI a
Déjà mentionnés dans le Panorama de la depuis observé plusieurs événements de
cybermenace 2021, les Bullet Proof Hosters sécurité impliquant des hébergeurs ne se
(BPH) occupent toujours une place importante revendiquant pas comme des BPH. Ces
au cœur de l’écosystème cybercriminel. hébergeurs sont enregistrés auprès de
Ces hébergeurs, généralement situés dans registres nationaux et ne promeuvent pas
des pays hors d’atteinte des accords d’entraide l’utilisation de leurs infrastructures à des fins
judiciaire, fondent leur modèle économique malveillantes. Toutefois, un faisceau d’indices
sur l’immunité de fait qu’ils proposent à leurs concordants suggère des activités de ce type
clients : inertie ou inaction face aux injonctions – comme l’utilisation de leurs services dans
judiciaires, acceptation de paiements en des incidents de sécurité, leur manque de
cryptomonnaies, peu ou pas de contrôle réactivité dans la mise hors ligne de machines
quant à l’identité de leurs clients, absence impliquées dans des attaques, l’utilisation
de supervision des activités hébergées, etc. de moyens de paiement en cryptomonnaie,
l’absence de politique de KYC26 et une certaine
Une analyse des incidents connus de l’ANSSI opacité entourant l’enregistrement légal des
en 2024 montre que les infrastructures fournies entreprises associées – tout à fait comparables
par ces hébergeurs sont utilisées par des à celles pratiquées à partir de BPH.
acteurs malveillants aux profils hétérogènes.
Outre des cybercriminels, des acteurs
hacktivistes comme étatiques ont également
recours à des BPH. Ainsi, le groupe hacktiviste
pro-russe NoName057 est connu pour avoir
utilisé les infrastructures des hébergeurs Stark
Industries [38] et Global Internet Solutions
LLC (GIR) [39]. Stark Industries apparaît
également dans des incidents liés au groupe
cybercriminel FIN7 [40] et des attaques menées
par l’acteur réputé Iranien Haywire Kitten [41].

Certains opérateurs de réseaux

d’anonymisation réputés chinois sont
également connus pour appuyer
une partie de leur infrastructure
d’anonymisation sur des BPH [18].

L’hébergeur GIR est quant à lui utilisé par

le MOA réputé lié à la Russie Gamaredon
[42], mais également par des cybercriminels
déployant le loader Emmenhtal [43].

Enfin, si les BPH font régulièrement la publicité

de leurs services sur des forums spécialisés

26
Know your
customer (KYC),
ou connaissance
du client.

28
 III →

FINALITÉ DES
ATTAQUES
OBSERVÉES

À l’image des années précédentes, les attaques tures ultramarines sont particulièrement exposées
à but d’espionnage et à but lucratif restent les lors des attaques à but de déstabilisation ou par
plus importantes en termes d’investissement des rançongiciel, en raison notamment de la résilience
équipes de l’ANSSI. Par ailleurs, 2024 a été mar- moindre des accès à Internet et des services publics
quée par une hausse des attaques à finalité de dés- ou encore des délais d’intervention accrus pour des
tabilisation, notamment opérées par des groupes entités basées en métropole, que ce soit l’ANSSI
hacktivistes. L’ANSSI observe que les infrastruc- ou des prestataires spécialisés.
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

A
ATTAQUES À BUT LUCRATIF

→ Les attaques à but lucratif reposent essentielle-

ment sur le principe de l’extorsion financière, et
se manifestent en général par le vol ou le chiffrement
importants et aggraver la situation des victimes les
plus précaires.

de données. Les deux approches peuvent être cumu- L’attaque par rançongiciel contre l’université
lées dans les attaques dites par « double extorsion ». Paris-Saclay, déjà mentionnée dans le retour d’ex-
Ces attaques se veulent toujours très opportunistes périence JOP 2024, a entraîné de forts impacts opé-
et les attaquants n’hésitent pas à les médiatiser pour rationnels tels que l’indisponibilité de nombreuses
accentuer la pression sur leurs victimes. applications métier durant la période d’inscription
étudiante et au cours des mois suivant la rentrée. Ces
1 UNE ACTIVITÉ CYBERCRIMINELLE perturbations ont également affecté les écoles, les
QUI SE MAINTIENT À UN NIVEAU ÉLEVÉ universités membres-associées et les organismes de
recherche dont les infrastructures sont mutualisées
L’activité des groupes de rançongiciel, qui repré- avec celle de l’université. Si des mesures de remédia-
sentent une part significative de l’activité cybercri- tion ont progressivement été mises en place, cet inci-
minelle, s’est poursuivie avec une intensité impor- dent souligne l’importance des plans de continuité
tante en 2024. Si ces attaques à finalité lucrative sont (PCA) et de reprise d’activité (PRA) pour la priorisa-
conduites par des groupes ciblant indistinctement la tion des actions de reconstruction du SI.
plupart des secteurs et des zones géographiques, les
cybercriminels concentrent toutefois leurs activités 2 DÉSORGANISATION DE
à l’encontre de pays riches afin d’augmenter la pro- L’ÉCOSYSTÈME CYBERCRIMINEL
babilité d’obtenir le paiement d’une rançon.
L’année 2024 a également été marquée par
Afin d’accentuer la pression sur les victimes, les la perturbation de l’écosystème cybercriminel, du
opérateurs de rançongiciels ciblent les éléments du fait de l’éclatement successif de plusieurs groupes
SI susceptibles de contenir des données, comme les majeurs et d’opérations de démantèlement.
serveurs de stockage nuagique. Depuis 2023, l’ANSSI
observe également le ciblage continu d’hyperviseurs À partir de la mi-année, l’ANSSI a observé
(notamment les équipements ESXi de VMware), qui l’augmentation de l’utilisation d’infostealers29 dans
hébergent de nombreux services et données. Des les chaînes d’infection menant au déploiement de
groupes tels que Mallox, RansomHub ou Qilin ont rançongiciels. Généralement peu sophistiqués mais
développé de nouveaux variants de leur rançongiciel déployés massivement, ces programmes malveil-
ciblant spécifiquement ces équipements. La capacité lants permettent d’obtenir des authentifiants sur
à chiffrer plusieurs types d’équipements est par ail- le poste de travail de la victime. Ces derniers sont
leurs un argument d’attractivité utilisé par les groupes ensuite revendus sur des forums ou par le biais de
de RaaS pour recruter leurs affiliés [53]. canaux Telegram privés, puis réutilisés par d’autres
attaquants. À l’instar de l’ensemble de l’écosystème
Les attaques ayant pour finalité l’extorsion cybercriminel, certains opérateurs d’infostealers s’or-
financière, qu’elles prennent la forme d’attaques ganisent autour d’offres de service et travaillent avec
par rançongiciel ou d’exfiltration de données, ont des courtiers en accès initiaux30 ou directement avec
des conséquences parfois très lourdes pour l’entité des affiliés de rançongiciels.
victime, que ce soit en termes de réputation ou
de continuité d’activité. Les dommages financiers
engendrés par ces attaques peuvent également être

29 30
Un infostealer est un code malveillant utilisé Acteur cybercriminel spécialisé dans
pour collecter des informations sur le l’obtention et la revente d’accès non
poste de travail de la victime, notamment autorisés à un système d’information.
des authentifiants enregistrés dans les
navigateurs Web.

31
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Évolution des attaques a diminué. En revanche, l’ANSSI note une

par rançongiciel suivies par l’ANSSI augmentation de la part de compromissions
par rançongiciel des établissements
En 2024, 144 compromissions par rançongiciel d’enseignement supérieur, atteignant 12% de
ont été portées à la connaissance de l’ensemble des attaques de ce type en 2024,
l’ANSSI. Le nombre d’attaques se maintient à égalité avec les entreprises stratégiques.
à un niveau équivalent à 2023, et la menace
associée demeure particulièrement Au cours de la période étudiée, l’ANSSI a observé
importante pour la France. 39 souches différentes de rançongiciels.
Les souches les plus représentées sont
Il est à noter que si l’on observe globalement LockBit 3.0 (15%), Ransomhub (7%) et Akira (7%).
un nombre d’attaques comparable aux années Si LockBit et Akira étaient déjà à l’origine
précédentes, l’écosystème s’est renforcé afin de nombreuses compromissions d’entités
d’assurer la réponse à ce type d’attaques, françaises en 2023, la souche Ransomhub
ce qui permet à l’Agence de concentrer son n’avait pas été observée par l’ANSSI, de même
implication sur celles ayant les impacts les plus que les souches Monti et Lynx. La souche de
importants ou présentant des risques politiques. rançongiciel Bashe, anciennement Eraleign,
n’avait quant à elle plus été observée depuis 2021.
Si les PME/TPE/ETI constituent la catégorie
d’entités la plus affectée par les compromissions Les souches les plus utilisées évoluent également
par rançongiciel, la proportion de collectivités au fil des années. Si Ryuk et Hive étaient
territoriales (17%) et d’établissements de respectivement les rançongiciels les plus
santé (4%) victimes de ce type d’attaque observés en 2021 et 2022, ils ont été remplacés
par les souches LockBit depuis 2023.

Comparaison annuelle du nombre d'incidents et de signalements

20 150 Attaques par

rançongiciel
en 2023
Attaques par
120 rançongiciel
15 en 2024

90

10

60

5
30

0 0
r

e
et

e
r

ril

ai

in
ie

re

e
ie

ar

br

br
oû
ill

br
M
Av

Ju
vr
nv

ob
M

Ju

em

em

em
A
Fé
Ja

ct

Cumul 2023
pt

ov

éc
O
Se

Cumul 2024

32
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Comparaison des souches 2023/2024 2023

2024

LockBit 3.0/LockBit Black 22

21
4
Akira 10

Ransomhub 10
6
LockBit 8
2
Qilin 5

Monti 4

Lynx 4

8Base 3
3
1
BlackSuit 3
Cactus 1
3

Bashe/APT73/Eraleign 3

BrainCipher 3

Helldown 3

Hunters 3
05 10 15 20

Répartition des victimes d'attaques par le biais de rançongiciels

2% 2%
3%

4% 6%
5% 5%

9% 37%
34% 12%

10%
3%
4%
10%
24% 12%
17%

2023 2024

PME/TPE/ETI Établissement de santé EPA, EPIC

Collectivité territoriale/locale Association Ministère
Entreprise stratégique Établissement d'enseignement supérieur Autre

NB :
ces proportions correspondent aux La section de lutte contre la cybercriminalité
compromissions portées à la connaissance de la Juridiction nationale de lutte contre la
de l’ANSSI et peuvent varier avec la visibilité criminalité organisée (JUNALCO) du parquet
dont dispose l’Agence sur ces attaques. de Paris a observé en 2024 une baisse du
nombre d’attaques [52].

33
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

En février et mars 2024, le démantèlement partiel du Des entités du secteur social, naturellement amenées
groupe LockBit (voir focus page 34) puis l’exit scam32 à gérer des données à caractère personnel, ont fait
du groupe BlackCat ont participé à désorganiser tem- l’objet de nombreux incidents au début de l’année.
porairement l’écosystème des groupes de rançongi- Parmi les incidents les plus marquants, sont notables
ciels. Ces deux RaaS figuraient depuis 2022 parmi les ceux ayant affecté les prestataires de tiers-payant
franchises les plus populaires de l’écosystème, comp- Viamedis et Almerys, ou bien encore celui ayant
tant plusieurs centaines d’affiliés. Une partie d’entre touché France Travail, avec pour conséquence l’ex-
eux se serait réorientée vers d’autres franchises telles filtration de quantités importantes de données per-
que RansomHub et Hunters International pour les- sonnelles appartenant à de nombreux Français [63].
quelles l’ANSSI a observé une hausse conséquente Ces incidents ont mis en exergue des insuffisances de
des attaques avec près de 200 revendications cha- protection dans la façon dont ces données sont trai-
cune, dont plusieurs en France [54] [55]. Une seconde tées et les moyens d’y accéder, et ce dès la conception
partie des affiliés se serait désolidarisée des grands des projets. Le CERT-FR a publié en 2024 un retour
groupes de RaaS en créant ou rejoignant de petits d’expérience sur ces incidents [64].
groupes privés. À compter du deuxième semestre
2024, l’ANSSI a ainsi observé une hausse des attaques L’ANSSI constate que ces fuites de données, avé-
par de nouveaux groupes peu sophistiqués déployant rées ou non, peuvent être revendiquées et republiées
généralement des versions modifiées de rançongi- parfois plusieurs mois après l’incident et par plusieurs
ciels dont les codes sources ont été partagés publi- acteurs cybercriminels ou hacktivistes. Par ailleurs,
quement. Cette tendance, déjà identifiée en 2023, l’ANSSI a observé une surmédiatisation, plus parti-
s’est confirmée en 2024 suite aux multiples opéra- culièrement au cours de la période des JOP 2024, de
tions de démantèlement qui ont favorisé l’éclate- fausses annonces de vol de données par des acteurs
ment de groupes cybercriminels majeurs et la réorga- malveillants. Ces annonces sont généralement consti-
nisation de l’écosystème. Ces nouveaux acteurs ont tuées d’anciennes données déjà publiées ou de faibles
jusqu’à présent mené des attaques peu régulières, quantités d’informations. Les levées de doute liées
comme le groupe Brain Cipher responsable de plu- à ces revendications mensongères demandent un
sieurs attaques en France entre juin et août 2024 et temps conséquent à l’entité victime concernée et aux
dont l’activité semble avoir depuis drastiquement professionnels de sécurité, alors que leur médiatisa-
diminué. L’apparition régulière de nouvelles souches tion peut entraîner un impact réputationnel pour les
de rançongiciels s’appuyant sur des codes sources victimes. Par exemple, entre juin et août 2024, plus
précédemment divulgués témoigne du fort poten- de 15 alertes ont été portées à la connaissance de
tiel de prolifération de ces programmes malveillants l’ANSSI concernant de fausses publications prove-
cybercriminels. nant de plusieurs canaux Telegram se faisant passer
pour le groupe de rançongiciel LockBit. ←
3 VOLS ET FUITES DE DONNÉES À
L’ENCONTRE D’ENTITÉS FRANÇAISES

En 2024, de nombreuses entités françaises

publiques et privées ont été victimes de fuites de
données, diffusées sur des forums, des sites de divul-
gation de données ou des canaux Telegram [17].

32
Un exit scam, ou escroquerie de sortie en
français, consiste pour une entreprise ou ici
pour un groupe cybercriminel à cesser de
fournir le service vendu puis de disparaître
avec l’ensemble des dus financiers de ses
clients ou affiliés.

34
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Les opérations de démantèlement IcedID et SmokeLoader a été menée dans

le cadre d’une coopération judiciaire
Les opérations internationales de internationale impliquant les autorités
démantèlement menées par les forces allemandes, néerlandaises, danoises, françaises
de l’ordre visent des maillons essentiels (coordonnées par l’Office anticybercriminalité
de l’écosystème cybercriminel. de la police judiciaire (OFAC)), britanniques
et américaines. Cette opération nommée
Plusieurs forums de revente d’accès et de ENDGAME faisait suite à l’opération
données ont ainsi fait l’objet d’opérations de démantèlement du botnet Qakbot
de lutte contre la cybercriminalité. En mars lancée par les États-Unis en août 2023.
2024, la Police allemande de Düsseldorf a ainsi Dans le cadre de cette opération, l’ANSSI
saisi le forum cybercriminel germanophone a apporté son soutien pour l’identification
CrimeMarket qui comptabilisait environ et la notification des victimes.
200 000 utilisateurs [56]. En réaction, les Les codes malveillants visés étaient
cybercriminels s’appliquent à reprendre ou principalement utilisés comme point d’entrée
créer de nouveaux forums, en capitalisant sur sur le réseau des victimes pour déployer,
la réputation, la base d’utilisateurs, l’identité entre autres, des outils génériques offensifs
graphique ou encore les catégories de contenu comme Cobalt Strike et des rançongiciels [60]
des précédents forums. C’est notamment le [61]. L’ANSSI n’a pas observé en propre de
cas de RaidForums, saisi en 2022 puis repris résurgence significative des loaders ciblés par
et renommé BreachForums. Les arrestations le démantèlement, à l’exception de BumbleBee
régulières d’administrateurs de forums comme dont l’activité reste cependant très limitée.
en mars 2023 [57] et en mai 2024 n’ont eu
jusqu’à présent que des impacts temporaires Si les effets de ces opérations sont limités
sur l’existence de ces communautés. dans le temps, elles permettent de
désorganiser efficacement les acteurs qui
Outre les plateformes cybercriminelles, doivent réinvestir du temps et de l’argent
plusieurs opérations de démantèlement ont pour reconstruire leurs infrastructures.
également eu lieu au cours de l’année 2024 De plus, les multiples arrestations de
afin de déstabiliser les groupes d’attaquants cybercriminels comme lors de l’opération
et l’écosystème cybercriminel. En février CRONOS ont pu engendrer une perte de
2024, l’opération CRONOS, menée par confiance et une atteinte à la réputation
une coalition internationale d’agences des groupes concernés, qui doivent regagner
de lutte contre la cybercriminalité dont leur prestige au sein de l’écosystème [62].
l’Unité nationale cyber (UN Cyber) de la
Gendarmerie nationale française, a permis
de perturber significativement les activités
du groupe de ransomware-as-a-service
LockBit [58]. Ce groupe, actif depuis 2019,
était devenu le groupe de rançongiciel le
plus actif et attractif de l’écosystème en
comptabilisant à lui seul environ 30% des
attaques par rançongiciels en 2023 [58] [59].

Entre le 27 et le 29 mai 2024, une

opération de démantèlement de plusieurs
infrastructures liées à des loaders31 comme

31
Un loader ou chargeur est un code
malveillant dont la fonctionnalité principale
est de déposer ou exécuter un autre code
malveillant sur la machine compromise.

35
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

B
DÉSTABILISATION

→ Les attaques à but de déstabilisation ciblant

des entités françaises ont été particulièrement
nombreuses au cours de cette année. Fortement
Ciblage de petites installations industrielles

L’ANSSI a traité en 2024 de multiples

signalements relatifs au ciblage par des
liées à l’actualité internationale, elles sont principa-
groupes hacktivistes ayant un faible niveau de
lement l’œuvre de groupes hacktivistes cherchant à
technicité mais une forte capacité à médiatiser
attirer l’attention. Les grands événements politiques leurs activités, d’entités des secteurs de la
ou sportifs constituent une caisse de résonance pour production d’énergie renouvelable et de
ces attaques, contribuant ainsi largement à leur objec- l’assainissement de l’eau. Les opérateurs de
tif de déstabilisation. Cyber Army of Russia Reborn (CARR) et Lulzsec
Muslims sont notamment parvenus à accéder à
Les groupes hacktivistes ont traditionnellement des interfaces de gestion exposées sur Internet.
recours aux attaques par DDoS, à la défiguration de L’action la plus aboutie a mené à l’arrêt
sites Web ou à la revendication d’exfiltration de don- pendant quelques heures d’un parc éolien,
entraînant pour la victime une perte financière
nées. Plus récemment, des tentatives de sabotage de
de quelques milliers d’euros.
petites installations industrielles ont été observées :
si les conséquences de ces attaques restent limitées, Des revendications régulières de
elles représentent une évolution vers une logique de compromission d’équipements liés au secteur
sabotage pour laquelle une vigilance s’impose. de l’eau ont été faites par des groupes
hacktivistes pro-russes durant l’année 2024. Le
1 SABOTAGE DE PETITES INSTALLATIONS secteur de l’eau, critique par essence à la fois
INDUSTRIELLES pour la population et les industries, et cela
d’autant plus dans le contexte des JOP 2024, a
En 2024, plusieurs groupes hacktivistes ont reven- fait l’objet d’une attention particulière par des
attaquants. CARR a notamment revendiqué
diqué la prise de contrôle de petites installations indus-
des attaques de faible sophistication
trielles, majoritairement utilisées pour la production
technique contre des systèmes industriels
d’énergie renouvelable. Ces attaques visaient des ins- de microcentrales hydroélectriques, dont la
tallations appartenant à des particuliers ou à des TPE/ prise de contrôle à distance de la centrale
PME, et dont l’interface de gestion était exposée sur hydroélectrique de Courlon-sur-Yonne qui
Internet sans authentification ou avec un mot de passe concernait en réalité le moulin de Courlandon
par défaut. [65]. Le groupe a par la suite revendiqué la
prise de contrôle à distance d’une station
Ces attaques techniquement peu avancées sont italienne de traitement des eaux à Dittaino
exploitées surtout sur le plan médiatique. L’ANSSI (Sicile) et annoncé le ciblage de stations
d’épuration de la Seine en vue de perturber
observe ainsi une disproportion entre les revendica-
les épreuves des JOP 2024 qui devaient s’y
tions des attaquants et les conséquences des attaques :
dérouler. Les efforts de sensibilisation et
dans la grande majorité des cas, les hacktivistes ont l’accompagnement des entités susceptibles
exagéré l’impact de leurs actions dans le but d’ac- d’être ciblées ont permis qu’aucune attaque ne
croître leur visibilité. soit relevée sur ce périmètre durant les Jeux.

L’ANSSI considère que les actions mises en œuvre

pour sécuriser les équipements industriels et réduire
leur exposition sur Internet amoindrissent significati-
vement les opportunités d’attaque.

37
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Les efforts de sécurisation sont en particulier à mener Nombre d'attaques par DDoS observées
par les fabricants et distributeurs, qui doivent sensi- par l'ANSSI contre des cibles françaises
biliser leurs clients aux problématiques de sécurité et
communiquer des règles claires de mise en œuvre sécu-
risée des équipements. Par ailleurs, les installateurs,
bien qu’étant souvent des professionnels du secteur,
ne sont que rarement sensibilisés à mettre en œuvre
les mesures d’hygiène informatique et de sécurité.

2 UNE INTENSITÉ ACCRUE

DES ATTAQUES PAR DDOS

Les attaques par DDoS sont les attaques à but

de déstabilisation les plus fréquentes. Très prisées par
les hacktivistes, elles sont désormais utilisées par des
acteurs aux profils divers (acteurs cybercriminels, mais
aussi des groupes soutenus par des États).

Des attaques par DDoS ont été menées en 2024

contre des entités françaises publiques comme privées
avec une intensité marquée. Le graphique ci-contre
illustre cette tendance, où l’on peut globalement
observer un doublement de ce type d’attaque en 2024
par rapport à 2023, ainsi qu’une activité accrue pen-
dant la période des JOP 2024.

Fait marquant de 2024, certaines rares attaques

DDoS d’ampleur visant des infrastructures de télécom-
munications ont eu des conséquences importantes sur
la disponibilité de services critiques.

Du 10 au 12 mars 2024, le Réseau interministériel

de l’État (RIE) a ainsi été ciblé pendant plusieurs jours,
avec des impacts significatifs sur l’activité de plusieurs
ministères malgré les mesures de blocage rapidement
mises en œuvre. À la suite de ces attaques, des mesures
de sécurité complémentaires ont été prises par le RIE,
et
Fé r
r

ril

ai

in

pt ût

re

e
ie

ie

ar

br

br

br

notamment en prévision des JOP 2024.

ill
M
Av

Ju

N ob
o
nv

vr

Ju

em

em

em
A

ct
Ja

éc
ov
O
Se

L’hébergeur et opérateur de télécommunications

OVH a également été visé par une attaque DDoS de
très forte intensité, dont la finalité n’a pu être précisé-
ment démontrée faute de revendication [66]. 2023 2024

NB.
Une attaque DDoS
est considérée avec
impact lorsqu’elle
porte atteinte à
la disponibilité du
service visé

38
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Ces attaques illustrent la capacité de nuisance ponc- 2023, qui avait été revendiquée par le groupe hacktiviste
tuelle des DDoS ciblant des infrastructures essentielles. pro-russe Solntsepëk34. Les hacktivistes pro-ukrainiens
BlackJack auraient remplacé le nom du système auto-
En septembre 2024, le Département de Justice nome utilisé par M9com par « SLAVAUKRAINI-AS » 35
des États-Unis a annoncé le démantèlement d’un et publié des données présentées comme exfiltrées.
réseau de bot (botnet) mondial composé de centaines L’attaque aurait détruit 20TB de données apparte-
de milliers d’appareils connectés, dont des caméras et nant à M9com et aurait interrompu la fourniture d’ac-
appareils de stockage. Ce botnet, baptisé Raptor Train cès à Internet d’habitants de Moscou [69]. D’après
par l’entreprise Lumen, était mis au service du MOA le média spécialisé The Record, l’attaque aurait été
réputé étatique Flax Typhoon, potentiellement opéré conduite en coopération avec le Service de sécu-
par l’entreprise chinoise Integrity Technology Group. rité d’Ukraine (SBU) [70]. Le SBU aurait déjà coo-
Raptor Train était doté de capacités d’exploitation péré avec des groupes hacktivistes pro-ukrainiens
de vulnérabilités, de commande et contrôle, d’exécu- par le passé, notamment lors de l’attaque contre la
tion de commande à distance ainsi que d’attaque par banque russe Alpha Bank en octobre 2023 [70].
DDoS. Avant son démantèlement, ce réseau aurait été
utilisé pour cibler plusieurs infrastructures critiques Le CERT ukrainien (CERT-UA) [71] a décrit une
dans le monde, dont des entités taïwanaises et états- campagne attribuée au MOA Sandworm qui a ciblé
uniennes, dans un objectif de déstabilisation. [67] [68] en mars 2024 une vingtaine d’entreprises des secteurs
de l’énergie, de l’eau et de la fourniture de chaleur,
3 SABOTAGE ET PRÉ-POSITIONNEMENT33 dans dix régions d’Ukraine. Sandworm, également
PAR DES ACTEURS AVANCÉS appelé APT44 [72], est un MOA réputé russe associé
à des attaques à des fins d’espionnage et de sabotage
En 2024, l’ANSSI n’a pas traité d’incident issu contre plusieurs entités dans le monde, et notam-
d’actions de sabotage par un acteur avancé. Ce type ment en Ukraine dans le cadre de la guerre déclenchée
d’actions ciblant des SI critiques a plutôt été observé par la Russie. L’objectif de ces attaques, qui ont été
dans des contextes de tensions géopolitiques, mené déjouées, était de compromettre le fonctionnement
par des acteurs étatiques ou engagés dans les conflits, des systèmes de contrôle industriel (ICS) des entités
afin de déstabiliser et amoindrir les capacités adverses ciblées. Le CERT-UA est parvenu à prévenir les entités
voire appuyer des objectifs militaires. concernées et a contribué à contrer ces attaques infor-
matiques avant que les codes de sabotage ne soient
Certains groupes hacktivistes pro-russes ou déclenchés. Il estime que cette campagne d’attaques
pro-ukrainiens revendiquent également des attaques avait pour objectif d’amplifier les effets des bombar-
à finalité destructrice. Ces dernières sont aussi poten- dements de certaines infrastructures énergétiques en
tiellement associées à des opérateurs étatiques, qui Ukraine durant le printemps 2024. ←
exploitent des canaux hacktivistes authentiques ou des
faux-nez à des fins de publicité et d’influence.

En janvier 2024, le groupe hacktiviste pro-ukrainien

BlackJack a revendiqué sur son canal Telegram la com-
promission de l’opérateur télécom moscovite M9com.
Cette revendication s’inscrivait, d’après le groupe hack-
tiviste, dans les actions en représailles à l’attaque contre
l’opérateur télécom ukrainien Kyivstar en décembre

33 34 35
Le pré-positionnement renvoie à la stratégie Le groupe Solntsepëk est décrit comme (« GLOIRE A
d’attaquants informatiques associés un faux-nez des opérateurs du MOA L’UKRAINE-AS »)
à des capacités étatiques, qui cherchent Sandworm, associé en sources ouvertes
à s’introduire et se maintenir sur au service russe de renseignement
des systèmes critiques, potentiellement militaire (GRU). [72].
dans l’objectif de réaliser ultérieurement
des actions de sabotage.

39
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

C
ESPIONNAGE

→ À l’instar des années précédentes, les attaques

à finalité d’espionnage sont celles qui ont le
plus mobilisé les équipes opérationnelles de l’ANSSI
MOA APT28 semblent répondre à des besoins de ren-
seignement stratégique immédiat et présentent des
niveaux de sophistication variables. Certaines cam-
en 2024. Caractérisées par des périmètres de com- pagnes d’hameçonnage reposent sur des comptes
promission larges et s’inscrivant sur le temps long, légitimes compromis, des services de création
ces attaques demandent des moyens importants d’adresses de messagerie temporaires ou encore
tant pour les investigations numériques que pour de l’usurpation d’adresses légitimes. Les opérateurs
la remédiation et la caractérisation de la menace. mènent également des attaques par force brute
contre des webmails. Les opérateurs du MOA APT28
Les entités stratégiques, qu’elles appartiennent ont également exploité des vulnérabilités, y compris
au périmètre gouvernemental ou constituent des jour-zéro (CVE-2023-23397).
infrastructures essentielles, sont des cibles récur-
rentes qui répondent aux objectifs d’espionnage D’autres campagnes associées à des MOA répu-
stratégique des États adverses. Des cas de recompro- tés liés à la Russie ont été observées en 2024. Ainsi,
missions et de poly-compromissions sont toujours l’éditeur de sécurité Google TAG [45] a publié des
observés, montrant la persévérance et les moyens informations concernant le MOA Nobelium [21], qui
que les acteurs à l’origine de ces attaques sont dis- aurait été employé pour mener des campagnes d’at-
posés à mobiliser pour arriver à leurs fins. taques par point d’eau exploitant des sites gouver-
nementaux mongols en 2023 et 2024. Les attaquants
1 CIBLAGES LIÉS À DES INTÉRÊTS STRATÉ- auraient utilisé des kits d’exploitation de vulnérabi-
GIQUES ÉTATIQUES lité similaires à ceux conçus par les entreprises pro-
ductrices de logiciels de surveillance NSO Group et
En 2024, des modes opératoires d’attaque Intellexa. Cette campagne interroge sur la manière
réputés liés aux intérêts stratégiques russes ont été dont les opérateurs du MOA ont pu accéder à ces
employés pour des compromissions à but d’espion- outils. En effet, les outils issus de l’écosystème de
nage. Ces campagnes d’attaques prennent place LIOP sont rarement utilisés hors du cadre de la rela-
depuis février 2022 dans le contexte de la guerre en tion entre les vendeurs et leurs clients, et les capa-
Ukraine et semblent orientées principalement par cités offensives liées à la Russie sont connues pour
la recherche d’informations pouvant soutenir les être traditionnellement issues de son écosystème
efforts militaires ou diplomatiques russes. national. Le risque de prolifération issu de la com-
mercialisation large d’outils offensifs par des entre-
Au cours de l’année, les opérateurs du MOA prises privées, identifié de longue date par l’ANSSI,
APT28, associé en sources ouvertes au service de trouve ici une illustration nouvelle.
renseignement militaire russe (GRU), ont poursuivi
leurs attaques contre des secteurs d’intérêt straté- L’activité associée aux modes opératoires répu-
gique pour la Russie, notamment en Ukraine et au tés chinois a été particulièrement dense et docu-
sein des pays de l’OTAN. La victimologie associée à mentée au cours de l’année 2024. De larges secteurs
ces campagnes d’attaques comprend en 2024 des et zones géographiques ont été ciblés à des fins
entités appartenant prioritairement aux secteurs de captation de renseignement d’ordre stratégique
gouvernemental, diplomatique, et de la recherche et économique. À titre d’exemple, plusieurs pays
ou des think tanks [73]. Certaines campagnes ont participant au sommet « ASEAN-Australia Special
été dirigées contre des entités publiques françaises. Summit » entre le 4 et le 6 mars 2024 auraient été
L’ANSSI constate que les campagnes associées au ciblés par au moins deux MOA réputés chinois, dont

40
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

le MOA Mustang Panda [74]. Le secteur des transports vée par Microsoft contre des entités localisées en
a aussi été touché par ces activités d’espionnage. Belgique, en France, à Gaza, en Israël, au Royaume-
Uni et aux États-Unis [78].
Les modes opératoires associés par différents
éditeurs de sécurité à la Chine auraient été employés 2 CIBLAGE DU SECTEUR
en 2024 pour cibler le secteur du transport mari- DES TÉLÉCOMMUNICATIONS
time en Europe, certains implants malveillants ayant
été retrouvés sur des équipements embarqués [75]. Le ciblage d’opérateurs de télécommunica-
L’Asie reste une région privilégiée du ciblage offen- tions à des fins d’espionnage est intense [1]. En
sif lié aux MOA réputés chinois, ceux-ci ayant mené France, l’ANSSI a traité des compromissions impor-
des attaques ciblant de nombreux secteurs gou- tantes de SI d’opérateurs de ce secteur à des fins
vernementaux ou privés. Ainsi, le mode opératoire d’espionnage, menées par des MOA ayant déve-
RedJuliette aurait notamment été employé contre loppé des techniques et outils avancés spécifiques
de nombreuses cibles à Taïwan, dont des représen- à ce domaine.
tations diplomatiques [76].
Aux États-Unis, le MOA Salt Typhoon a été
Fait nouveau, des MOA employés dans des employé contre des infrastructures de télécommu-
campagnes traditionnellement menées en Asie ont nications, et aurait notamment visé des dispositifs
été observés ciblant en 2024 des entités situées en d’interception légale (voir focus page 43).
Afrique et dans les Caraïbes [77]. Enfin, plusieurs
MOA réputés chinois ont également ciblé avec inten- Le secteur des télécommunications dans son
sité le secteur des télécommunications notamment ensemble est ciblé de façon régulière et importante
en France (voir section suivante). par les groupes d’attaquants réputés liés à la Chine,
particulièrement en Asie. Les nombreuses compro-
Des acteurs offensifs réputés iraniens ont missions décrites par les éditeurs de sécurité font
quant à eux été associés à des opérations d’espion- état d’exfiltration de données, sans que la nature
nage à l’encontre de think tanks, d’organismes de exacte de ces dernières ne soit toujours détaillée.
recherche d’universités françaises [73]. Le MOA
réputé iranien APT42 a été employé dans le cadre Ces deux dernières années, l’ANSSI a traité
d’opérations d’espionnage et de surveillance d’indi- plusieurs incidents affectant des entités du sec-
vidus, et dans une moindre mesure d’organisations, teur des télécommunications en France à des fins
présentant une menace pour la stabilité du régime d’espionnage.
iranien36. Sa victimologie comprend des chercheurs,
des journalistes, des dissidents, des membres de la Parmi ces incidents figure la compromission du
diaspora iranienne, des représentants de gouverne- cœur de réseau mobile d’un opérateur de télécom-
ments occidentaux, des think tanks, des universités munications. Le mode opératoire observé lors de
et des organisations non gouvernementales (ONG). cette compromission a pour caractéristiques prin-
Néanmoins, depuis fin 2023, les activités associées cipales d’avoir une bonne connaissance des pro-
au MOA semblent indiquer que les opérations d’es- tocoles de communication spécifiques au secteur
pionnage à l’encontre d’entités comme les ONG, les et d’avoir concentré ses activités sur des équipe-
centres de recherche et les universités représentent ments peu conventionnels ou rarement supervisés
une part plus importante des activités de ses opé- par des solutions de sécurité – témoignant ainsi de
rateurs. Cette activité a plus récemment été obser- son niveau de sophistication ainsi que d’une forte

36
L’éditeur de sécurité américain
Mandiant [81] établit avec un niveau
de confiance fort que les opérateurs
du MOA APT42 agissent pour le compte
de l’Organisation du renseignement du
Corps des Gardiens de la révolution
islamique (IRGC-IO).

42
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

Salt Typhoon Les éléments issus des communications intercep-

tées par l’attaquant ont potentiellement permis à
Une campagne d’attaques menées au moyen ce dernier de mener d’autres attaques, ou ont pu
du MOA Salt Typhoon ciblant les principales
bénéficier à d’autres groupes d’attaquants liés au
entités du secteur des télécommunications
même acteur stratégique. L’ANSSI estime très pro-
aux États-Unis a été rapportée septembre
2024. Plusieurs entreprises du secteur des bable que le même acteur poursuive le ciblage de
télécommunications américaines auraient été ce type d’infrastructure et préconise aux acteurs
compromises à des fins d’espionnage. À la du secteur des télécommunications une prise en
suite de cette campagne, plus de 150 victimes compte accrue de la menace.
auraient été alertées par le FBI. Les investigations
toujours en cours laissent apparaître que L'ANSSI a enfin assisté un autre opérateur de
l’usurpation d’un compte à très hauts privilèges télécommunications dans l’éviction d’un acteur mal-
et insuffisamment protégé a permis la prise de veillant présent depuis au moins décembre 2022 au
contrôle de 100 000 routeurs dans le monde. Les
sein de son SI. Le niveau de privilèges atteint par cet
opérateurs du MOA auraient particulièrement
attaquant – connu pour concentrer son ciblage sur
ciblé la zone de Washington D.C. et pourraient
avoir visé les systèmes d’interceptions des entités de ce secteur d’activité – lui a conféré des
légales dans l’objectif de connaître les capacités de latéralisation, d’espionnage et de sabo-
agents chinois sous surveillance. [79]. tage au sein du SI de la victime. Les investigations de
l’Agence ont notamment permis de confirmer une
des finalités de l’attaque, à savoir l’interception de
communications de cibles précises.

Les compromissions d’opérateurs de télécom-

munications sont susceptibles de porter atteinte à la
confidentialité des données échangées par les clients.
Toutefois, dans les attaques à but d’espionnage, les
accès et privilèges obtenus par les attaquants leur per-
mettent de réaliser des actions de sabotage, sans que
cela n’ait été constaté par l’ANSSI en pratique. Les
capacité d’adaptation. Les investigations menées infrastructures satellitaires, traditionnellement utili-
par l’ANSSI indiquent l’adéquation du mode opéra- sées comme moyen de communication de secours,
toire avec des intérêts stratégiques étatiques. sont très exposées à ce risque, en témoigne l’attaque
subie par le réseau de communication satellitaire
L'Agence a également accompagné un opé- KA-SAT en 2022 [80].
rateur dont les infrastructures de communications
satellitaires ont fait l’objet d’une compromission en Dans les attaques observées par l’ANSSI, les
profondeur depuis plusieurs années. Durant cette attaquants emploient fréquemment des codes mal-
attaque – probablement menée à des fins d’espion- veillants développés pour des technologies ou des
nage – l’attaquant était également en capacité de équipements très spécifiques. Le faible potentiel de
mener des actions de sabotage dont les consé- réutilisation de ce type d’outil illustre l’importance
quences auraient pu s’avérer critiques au vu des des moyens mis en œuvre. Par ailleurs, dans ces com-
contraintes de haute disponibilité auxquelles sont promissions, l’attaque a souvent été détectée plu-
soumises les infrastructures du secteur satellitaire. sieurs années après la compromission. ←

43
 ANNEXES
BIBLIOGRAPHIE
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

[01] CERT-FR. [08] CERT-FR. [14] CERT-FR.

Panorama de la cybermenace 2023. Vulnérabilité dans Signalements du CERT-FR.
23 février 2024. Microsoft Netlogon. [Link]
[Link] 11 mars 2021. signalements/
CERTFR-2024-CTI-001/ [Link]
CERTFR-2020-ALE-020/ [15] CERT-FR.
[02] GRANDS ÉVÈNEMENTS Signalement de vulnérabilité
SPORTIFS EN FRANCE. [09] SEKOIA. significative ou d'incident affectant
Évaluation de la menace 2024. Mamba 2FA: A new contender in the significativement un logiciel
11 avril 2024. AiTM phishing ecosystem. (Art. L. 2321-4-1 du code de la
[Link] 07 octobre 2024. Défense).
CERTFR-2024-CTI-003/. [Link] [Link]
2fa-a-new-contender-in-the-aitm- signalement-vulnerabilite-
[03] THE NEW YORK TIMES. phishing-ecosystem/ incident-2321-4-1/
Polish anti-doping agency
targeted by cyber attack, [10] CERT-FR. [16] CERT-FR.
‘fake’ test results leaked. Classe de vulnérabilités en Incident affectant
14 août 2024. environnement Active Directory. les solutions AnyDesk.
[Link] 15 octobre 2021. 15 avril 2024.
athletic/5700428/2024/08/14/ [Link] [Link]
polish-anti-doping-cyber-attack/ CERTFR-2021-DUR-001/ CERTFR-2024-ALE-003/

[04] SGDSN. [11] CERT-FR. [17] L'USINE DIGITALE.

Synthèse de la menace Failles sur les équipements Cybersécurité : Après Boulanger,
informationnelle ayant de sécurité : retour d'expérience Cultura révèle une fuite
visé les Jeux Olympiques et du CERT-FR. de données clients.
Paralympiques de Paris 2024. 12 juin 2024. 10 septembre 2024.
13 septembre 2024. [Link] [Link]
[Link] uploads/20240612_NP_ANSSI-SDO_ cybersecurite-apres-boulanger-
[Link]/publications/ Retex-Vuln_vf.pdf cultura-revele-une-fuite-de-
synthese-de-la-menace- donnees-clients.N2218245
informationnelle-ayant-vise-les-jeux- [12] FORTINET.
olympiques-et-paralympiques Burning Zero Days: Suspected [18] MANDIANT.
Nation-State Adversary Targets Ivanti IOC Extinction? China-Nexus Cyber
[05] FBI. CSA. Espionage Actors Use ORB Networks
New Tradecraft of 11 octobre 2024. to Raise Cost on Defenders.
Iranian Cyber Group Aria. [Link] 22 mai 2024.
30 octobre 2024. threat-research/burning-zero-days- [Link]
[Link] suspected-nation-state-adversary- topics/threat-intelligence/
CSA/2024/[Link] targets-ivanti-csa china-nexus-espionage-orb-
networks/?hl=en
[06] IC3. [13] UNION EUROPÉENNE.
New Tradecraft of Iranian Cyber Règlement (UE) 2024/2847 du [19] LUMEN.
Group Aria Sepehr Ayandehsazan Parlement Européen et du Conseil KV-Botnet: Don’t call it a Comeback.
aka Emennet Pasargad. concernant des exigences de 07 fevrier 2024.
30 octobre 2024. cybersécurité horizontales pour les [Link]
[Link] produits comportant des éléments kv-botnet-dont-call-it-a-comeback/
CSA/2024/[Link] numériques et modifiant les
règlements (UE) n° 168/2013 et (UE) [20] CISA.
[07] CERT-FR. 2019/1020 et la directive (UE) 20. MAR-10448362-1.v1 Volt Typhoon.
L'ANSSI publie un corpus 20 novembre 2024. 07 février 2024.
de guides dédiés à la remédiation [Link] [Link]
d'incidents cyber. reg/2024/2847/j?eliuri=eli%3Areg%3 analysis-reports/ar24-038a
16 janvier 2024. A2024%3A2847%3Aoj&locale=fr
[Link]
publie-un-corpus-de-guides-dedies-
la-remediation-dincidents-cyber

45
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

[21] CERT-FR. [27] ESENTIRE. [32] MICROSOFT.

Malicious activities linked Blind Eagle's North American Frequent freeloader part I: Secret
to the Nobelium intrusion set. Journey. Blizzard compromising Storm-0156
19 juin 2024. 20 février 2024. infrastructure for espionage.
[Link] [Link] 04 décembre 2024.
CERTFR-2024-CTI-006/ blind-eagles-north-american-journey [Link]
en-us/security/blog/2024/12/04/
[22] MICROSOFT. [28] GOOGLE frequent-freeloader-part-i-secret-
Microsoft Actions Following THREAT INTELLIGENCE GROUP. blizzard-compromising-storm-0156-
Attack by Nation State Hybrid Russian Espionage and infrastructure-for-espionage/
Actor Midnight Blizzard. Influence Campaign Aims to
19 janvier 2024. Compromise Ukrainian Military [33] ESET.
[Link] Recruits and Deliver Anti- RomCom exploits Firefox and
blog/2024/01/microsoft-actions- Mobilization Narratives. Windows zero days In-The-Wild.
following-attack-by-nation-state- 28 octobre 2024. 26 novembre 2024.
actor-midnight-blizzard/ [Link] [Link]
topics/threat-intelligence/ en/eset-research/romcom-exploits-
[23] SECURITIES AND russian-espionage-influence- firefox-and-windows-zero-days-in-
EXCHANGE COMMISSION. ukrainian-military-recruits-anti- the-wild/
Hewlett Packard mobilization-narratives?hl=en
Enterprise company. [34] FORBES.
19 janvier 2024. [29] BSI. Exclusive: Israeli Surveillance
[Link] The state of IT security Companies Are Siphoning Masses
data/1645590/000164559024000009/ in Germany in 2024. Of Location Data From Smartphone
[Link] 18 novembre 2024. Apps.
[Link] 11 décembre 2020.
[24] CERT-PL. SharedDocs/Downloads/ [Link]
Russian Foreign Intelligence Service EN/BSI/Publications/ thomasbrewster/2020/12/11/
(SVR) Cyber Actors Use JetBrains Securitysituation/IT-Security- exclusive-israeli-surveillance-
TeamCity CVE in Global Targeting. Situation-in-Germany-2024. companies-are-siphoning-masses-
13 décembre 2023. pdf?__blob=publicationFile&v=5 of-location-data-from-smartphone-
[Link] apps/
apt29-teamcity/ [30] SENTINELONE.
ChamelGang & Friends | [35] WALL STREET JOURNAL.
[25] MORPHISEC. Cyberespionage Groups How ads on your phone can
Unveiling UAC-0184: The Attacking Critical Infrastructure aid government surveillance.
Steganography Saga of the IDAT with Ransomware. 13 octobre 2023.
Loader Delivering Remcos RAT Juin 2024. [Link]
to a Ukraine Entity in Finland. ChamelGang & Friends | cybersecurity/how-ads-on-your-
26 février 2024. Cyberespionage Groups Attacking phone-can-aid-government-
[Link] Critical Infrastructure with surveillance-943bde04
unveiling-uac-0184-the-remcos-rat- Ransomware
steganography-saga/ [36] KTLA.
[31] GOOGLE TAG. LAPD using Israeli spy company to
[26] CERT-UA. We’re All in this Together | gather personal data, report says.
UAC-200 : Cyberattaques ciblées A Year in Review of Zero-Days 28 novembre 2023.
utilisant DarkCrystal RAT et Signal Exploited In-the-Wild in 2023. [Link]
comme véhicule de distribution Mars 2024. lapd-using-israeli-spy-company-to-
de confiance (CERT-UA #9918) - [Link] gather-personal-data-report-says/
UAC-0200: Цільові кібератаки з gweb-uniblog-publish-prod/
використанням DarkCrystal RAT documents/Year_in_Review_of_
та Signal як засобу довіреного [Link]
розповсюдження (CERT-UA#9918).
[Link]

46
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

[37] IRISH COUNCIL [44] LE MONDE. [49] TECHCRUNCH.

FOR CIVIL LIBERTIES. Le logiciel espion Pegasus détecté Spyware startup Variston is losing
Europe's hidden security crisis. dans le téléphone de Nathalie staff — some say it’s closing.
[Link] Loiseau et d’une autre eurodéputée. 15 février 2024.
europes-hidden-security-crisis/ 22 février 2024. [Link]
[Link] variston-spyware-losing-staff-some-
[38] KREBSONSECURITY. europeennes/article/2024/02/22/ say-closing/
Stark Industries Solutions: le-logiciel-espion-pegasus-
An Iron Hammer in the Cloud. detecte-dans-le-telephone-de- [50] TECHCRUNCH.
23 mai 2024. nathalie-loiseau-et-d-une-autre- Lawyer allegedly hacked with
[Link] eurodeputee_6217981_1168667.html spyware names NSO founders in
com/2024/05/stark-industries- lawsuit.
solutions-an-iron-hammer-in-the- [45] GOOGLE. 13 novembre 2024.
cloud/ State-backed attackers and [Link]
commercial surveillance vendors lawyer-allegedly-hacked-with-
[39] SEKOIA. repeatedly use the same exploits. spyware-names-nso-founders-in-
NoName057(16)’s DDoSia project: 29 août 2024. lawsuit/
2024 updates and behavioural shifts. [Link]
23 février 2024. group/state-backed-attackers-and- [51] AMNESTY INTERNATIONAL.
[Link] commercial-surveillance-vendors- Indonesia: A web of surveillance:
Noname05716-Ddosia-project-2024- repeatedly-use-the-same-exploits/ Unravelling a murky network of
updates-and-behavioural-shifts/ spyware exports to Indonesia.
[46] MINISTÈRE DE L'EUROPE 01 mai 2024.
[40] TEAM-CYMRU. ET DES AFFAIRES ETRANGÈRES. [Link]
FIN7: The Truth Doesn't Need Processus de Pall Mall : Lutter documents/asa21/7974/2024/en/
to be so STARK. contre la prolifération et l’usage
13 août 2024. irresponsable des capacités [52] ZDNET.
[Link] d’intrusion cyber disponibles sur le Rançongiciels : pourquoi la justice
fin7-the-truth-doesn-t-need-to-be- marché (Lancaster House, Londres, française a ouvert moins de
so-stark 6 février 2024). nouvelles enquêtes l'an passé.
06 février 2024. 06 janvier 2025.
[41] CISA. [Link] [Link]
New Tradecraft of Iranian fr/fr/politique-etrangere-de-la- rancongiciels-pourquoi-la-
Cyber Group Aria. france/securite-desarmement- justice-francaise-a-ouvert-moins-
30 octobre 2024. et-non-proliferation/ de-nouvelles-enquetes-lan-
[Link] actualites-et-evenements-lies- [Link]
CSA/2024/[Link] a-la-securite-au-desarmement-
et-a-la-non/2024/article/ [53] RECORDED FUTURE.
[42] SECURITY INTELLIGENCE. processus-de-pall-mall-lutter-contre- RansomHub Draws in Affiliates
Hive0051 goes all in with la-proliferation-et-l-usa with Multi-OS Capability and High
a triple threat. Commission Rates.
09 avril 2024. [47] SEKOIA. 20 juin 2024.
[Link] Active Lycantrox [Link]
com/x-force/ infrastructure illumination. research/ransomhub-draws-in-
hive0051-all-in-triple-threat/ 02 octobre 2023. affiliates-with-multi-os-capability-
[Link] and-high-commission-rates
[43] SEKOIA. lycantrox-infrastructure-
WebDAV-as-a-Service: Uncovering illumination/ [54] GROUP-IB.
the infrastructure behind Emmenhtal RansomHub r
loader distribution. [48] GOOGLE. ansomware-as-a-service.
19 septembre 2024. Buying Spying: How the commercial 28 août 2024.
[Link] surveillance industry works and what [Link]
as-a-service-uncovering-the- can be done about it. ransomhub-raas/
infrastructure-behind-emmenhtal- 06 février 2024.
loader-distribution/ [Link] [55] CISA.
group/commercial-surveillance- #StopRansomware:
vendors-google-tag-report/ RansomHub Ransomware.
29 août 2024.
[Link]
cybersecurity-advisories/aa24-242a

47
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

[56] BLEEPINGCOMPUTER. [62] EUROPOL. [67] U.S JUSTICE.

Germany takes down cybercrime LockBit power cut: four new arrests Departement of Court-Authorized
market with over 180,000 users. and financial sanctions against Operation Disrupts Worldwide
01 mars 2024. affiliates. Botnet Used by People’s Republic of
[Link] 01 octobre 2024. China State-Sponsored Hackers.
com/news/legal/germany-takes- [Link] 18 septembre 2024.
down-cybercrime-market-with-over- media-press/newsroom/news/ [Link]
180-000-users/ lockbit-power-cut-four-new-arrests- opa/pr/court-authorized-operation-
and-financial-sanctions-against- disrupts-worldwide-botnet-used-
[57] LE MONDE. affiliates peoples-republic-china-state
BreachForums : le fondateur
du plus important site de vente [63] MINISTÈRE DE L'INTÉRIEUR. [68] LUMEN.
de données personnelles volées Une lettre-plainte pour la violation Derailing the Raptor Train.
condamné par la justice. des données personnelles via 18 septembre 2024.
20 janvier 2024. Viamedis et Almerys. Ministère de [Link]
[Link] l'intérieur. derailing-the-raptor-train/
article/2024/01/20/breachforums- 01 septembre 2025.
le-fondateur-du-plus-important- [Link] [69] REUTERS.
site-de-vente-de-donnees- [Link]/fr/actualites/lettre-plainte- Hackers hit Moscow internet
personnelles-volees-condamne-par- vol-donnees-personnelles-viamedis- provider in response to Kyivstar
la-justice_6211870_4408996.html almerys cyber attack.
01 septembre 2024.
[58] EUROPOL. [64] CERT-FR. [Link]
Law enforcement disrupt world’s Exfiltration de données technology/cybersecurity/
biggest ransomware operation. du secteur social - retour hackers-hit-moscow-internet-
20 février 2024. d’expérience du CERT-FR. provider-response-kyivstar-cyber-
[Link] 24 septembre 2024. attack-source-2024-01-09/
media-press/newsroom/news/law- [Link]
enforcement-disrupt-worlds-biggest- CERTFR-2024-CTI-009/ [70] THE RECORD.
ransomware-operation Pro-Ukraine hackers claim breach
[65] LE MONDE. of Russian internet provider.
[59] TRENDMICRO. Comment Sandworm, les hackeurs 09 janvier 2024.
Unveiling the Fallout: Operation d’élite de l’armée russe, ont piraté [Link]
Cronos' Impact on LockBit un moulin français en pensant blackjack-hackers-sbu-claim-breach-
Following Landmark Disruption. attaquer un barrage. russia-M9com
03 avril 2024. 17 avril 2024.
[Link] [Link] [71] CERT-UA.
research/24/d/operation-cronos- article/2024/04/17/comment- Le mode opératoire UAC-
[Link] sandworm-les-hackeurs-d-elite-de- 0133 (Sandworm) prévoit un
l-armee-russe-ont-pirate-un-moulin- cyber-sabotage sur près de 20
[60] CERT-FR. francais-en-pensant-attaquer-un- infrastructures critiques en Ukraine
Opération ENDGAME. barrage_6228320_4408996.html (Плани UAC-0133 (Sandworm) щодо
30 mai 2024. кібердиверсії на майже 20 об'єктах
[Link] [66] OVH. критичної інфраструктури України).
CERTFR-2024-CTI-004/ The Rise of Packet Rate Attacks: 19 avril 2024.
When Core Routers Turn Evil. [Link]
[61] PARQUET DE PARIS. 01 juillet 2024.
Communiqué de presse. [Link] [72] MANDIANT.
2024. of-packet-rate-attacks-when-core- APT44: Unearthing Sandworm.
[Link] routers-turn-evil/ 2024.
posts/parquet-de-paris_ [Link]
communiqu%C3%A9-de- misc/apt44-unearthing-sandworm.
presse-endgame-activity- pdf
7201856692140056576-v3jT

48
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

[73] CERT-FR. [79] WALL STREET JOURNAL.

Organismes de recherche et How Chinese Hackers Graduated
think tanks - État de la menace From Clumsy Corporate Thieves
informatique. to Military Weapons.
02 semptembre 2024. 04 janvier 2025.
[Link] [Link]
CERTFR-2024-CTI-008/ cybersecurity/typhoon-china-
hackers-military-weapons-97d4ef95
[74] UNIT 42. ?msockid=30240784eaf162d40dae1
ASEAN Entities in the Spotlight: 208eb9e631d
Chinese APT Group Targeting.
26 mars 2024. [80] CERT-FR.
[Link] Panorama de la cybermenace 2022.
[Link]/ 10 février 2023.
chinese-apts-target-asean-entities/ [Link]
CERTFR-2023-CTI-001/
[75] ESET.
Iran - Aligned Cyberattacks: [81] MANDIANT.
Rise in Disruptive Operations. APT42: Crooked Charms,
2024. Cons and Compromises.
[Link] Septembre 2022.
en/papers/threat-reports/eset-apt- [Link]
[Link] default/files/2022-09/apt42-report-
[Link]
[76] RECORDED FUTURES.
Chinese State-Sponsored RedJuliett [82] APPLE.
Intensifies Taiwanese Cyber À propos du mode Isolement.
Espionage via Network Perimeter [Link]
Exploitation. fr-fr/105120
24 juin 2024.
[Link] [83] GOOGLE.
research/redjuliett-intensifies- Bringing Access Back — Initial Access
taiwanese-cyber-espionage-via- Brokers Exploit F5 BIG-IP (CVE-2023-
network-perimeter 46747) and ScreenConnect.
21 mars 2024.
[77] CHECKPOINT. [Link]
Chinese Espionage Campaign topics/threat-intelligence/
Expands to Target Africa and The initial-access-brokers-exploit-f5-
Caribbean. screenconnect?hl=en
23 mai 2024.
[Link] [84] HAARETZ.
research/chinese-espionage- Israel Tried to Keep Sensitive Spy
campaign-expands-to-target-africa- Tech Under Wraps. It Leaked Abroad.
and-the-caribbean/ 11 avril 2024.
[Link]
[78] MICROSOFT. news/security-aviation/2024-04-11/
New TTPs observed in Mint ty-article/.premium/israel-tried-
Sandstorm campaign targeting high- to-keep-sensitive-spy-tech-under-
profile individuals at universities and wraps-it-leaked-abroad/0000018e-
research orgs. c948-d480-a99e-cf5f24900000
17 janvier 2024.
[Link]
en-us/security/blog/2024/01/17/
new-ttps-observed-in-mint-
sandstorm-campaign-targeting-high-
profile-individuals-at-universities-
and-research-orgs/

49
 RESSOURCES

PANORAMA DE LA DÉPÔT LÉGAL AGENCE NATIONALE

CYBERMENACE 2024 DE LA SÉCURITÉ
Février 2025 DES SYSTÈMES D’INFORMATION
Édité par l’Agence nationale de la sécurité Publié sous licence Ouverte/
des systèmes d’information (ANSSI) Open Licence (Etalab — V2.0) ANSSI
51 boulevard de la Tour-Maubourg
Direction artistique, maquette ISSN : 2970-4413 75700 PARIS 07 SP
et illustrations : Cercle Studio [Link]
([Link]) [Link]
cert-fr@[Link]
 PANORAMA DE LA CYBERMENACE 2024 ANSSI

RETROUVEZ TOUS NOS GUIDES DE BONNES PRATIQUES SUR

[Link]/publications

Collection Cyberattaques et remédiation

CYBERATTAQUES CYBERATTAQUES CYBERATTAQUES

REMÉDIATION
COLLECTION
REMÉDIATION
COLLECTION
REMÉDIATION

ET REMÉDIATION
COLLECTION

ET REMÉDIATION ET REMÉDIATION
PILOTER LA REMÉDIATION LES CLÉS DE DÉCISION LA REMÉDIATION
DU TIER 0 ACTIVE
DIRECTORY

Collection Gestion de crise cyber

ORGANISER CRISE D’ORIGINE CYBER ANTICIPER ET GÉRER

GESTION DE CRISE CYBER

GESTION DE CRISE CYBER

GESTION DE CRISE CYBER

COLLECTION

COLLECTION

UN EXERCICE DE

COLLECTION
LES CLÉS D’UNE GESTION SA COMMUNICATION
GESTION DE CRISE CYBER OPÉRATIONNELLE DE CRISE CYBER
ET STRATÉGIQUE

LE RÉSEAU DE LA
COMMUNICATION
PUBLIQUE
ET TERRITORIALE

Les guides techniques

RECOMMANDATIONS POUR LES

RECOMMANDATIONS DE SÉCURITÉ RECOMMANDATIONS RELATIVES AUX ARCHITECTURES DES
POUR UN SYSTÈME D'IA GÉNÉRATIVE ARCHITECTURES DES SERVICES DNS INTERCONNEXIONS MULTINIVEAUX

GUIDE ANSSI GUIDE ANSSI GUIDE ANSSI

ANSSI-PA-105

ANSSI-PA-101
ANSSI-PA-102

17/07/2024

01/10/2024
29/04/2024

PUBLIC VISÉ : PUBLIC VISÉ : PUBLIC VISÉ :

Développeur Administrateur RSSI DSI Utilisateur Développeur Administrateur RSSI DSI Utilisateur Développeur Administrateur RSSI DSI Utilisateur

Retrouvez également les bulletins

d’actualité, les alertes et les avis de sécurité, Date : 7 novembre 2024
Version : 1.0
Nombre de pages : 45
Date : 28 novembre 2024
Version : 1
Nombre de pages : 21
Date : 10 septembre 2024
Version : 0.1
Nombre de pages : 27

les fiches réflexes ou encore les états

de la menace informatique sectorielle SECTEUR DE LA SANTÉ
ÉTAT DE LA MENACE INFORMATIQUE
SECTEUR DE L’EAU
ÉTAT DE LA MENACE INFORMATIQUE
ORGANISMES DE RECHERCHE
ET THINK TANKS

du CERT-FR sur [Link]

ÉTAT DE LA MENACE INFORMATIQUE

TLP:CLEAR TLP:CLEAR
TLP:CLEAR
PAP:CLEAR PAP:CLEAR

1 1
1

51