Atténuation des menaces avec des ressources limitées : Conseils à l’intention de la société civile

Publication : 14 mai 2024

Cybersecurity and Infrastructure Security Agency (CISA), Department of Homeland Security – Office of Intelligence and Analysis (DHS I&A), Federal Bureau of Investigation (FBI), Centre canadien pour la cybersécurité (CCC), National Cyber Security Centre de l’Estonie (NCSC-EE), Centre de coordination de l’Équipe d’intervention en cas d’urgence informatique du Japon (JPCERT/CC), National Center of Incident Readiness and Strategy for Cybersecurity (NISC) du Japon, National Cyber Security Centre de la Finlande (NCSC-FI), Agence nationale de police (ANP) du Japon, National Cyber Security Centre du Royaume-Uni (NCSC-UK)

Ce document porte la mention TLP:CLEAR. Les destinataires peuvent partager l’information qu’il contient sans aucune restriction. L’information est assujettie aux règles standards en matière de droit d’auteur. Pour obtenir de plus amples renseignements sur le protocole TLP (Traffic Light Protocol), prière de consulter la page Traffic Light Protocol (TLP) Definitions and Usage (en anglais seulement).

Sommaire

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et les organismes ci-dessous (ci-après appelés les « organismes ayant rédigé la présente ») ont rédigé et préparé conjointement ces conseils en coordination avec les principaux partenaires gouvernementaux et non gouvernementaux, ainsi que ceux de l’industrie et de la société civile. Les organismes ayant rédigé la présente publient ces conseils conjoints afin de fournir de l’orientation en matière de cybersécurité aux entités des collectivités à haut risque, comme les organisations et les gens de la société civile :

• le Department of Homeland Security – Office of Intelligence and Analysis (DHS I&A);
• le Federal Bureau of Investigation (FBI);
• le Centre canadien pour la cybersécurité (Centre pour la cybersécurité ou CCC);
• le National Cyber Security Centre de l’Estonie (NCSC-EE);
• le Centre de coordination de l’Équipe d’intervention en cas d’urgence informatique du Japon (JPCERT/CC);
• National Center of Incident Readiness and Strategy for Cybersecurity (NISC) du Japon;
• le National Cyber Security Centre de la Finlande NCSC-FI);
• l’Agence nationale de police (ANP) du Japon;
• le National Cyber Security Centre du Royaume-Uni (NCSC-UK).

On considère que la société civile — qui se compose d’organismes à but non lucratif, d’organismes de pression, d’organismes culturels, de groupements religieux, d’organisations universitaires, de groupes de réflexion, des médias, d’organisations dissidentes, de diasporas, de communautés et de personnes qui se portent à la défense des droits de la personne et cherchent à promouvoir la démocratie — fait partie des collectivités à haut risque. Souvent, ces organisations et leur personnel sont ciblés par des auteures et auteurs de menace parrainés par des États qui cherchent à porter atteinte aux valeurs et aux intérêts démocratiques. Fréquemment menées à des fins de répression transnationale (également appelée répression numérique transnationale), les activités des auteures et auteurs de menace parrainés par des États visent à compromettre les dispositifs et réseaux organisationnels et personnels pour intimider, museler, contraindre ou harceler les organisations et les gens de la société civile, ou leur porter préjudice.

Selon les rapports du secteur privé, les gouvernements de la Russie, de la Chine, de l’Iran et de la Corée du Nord sont à l’origine des activités parrainées par des États qui ciblent les collectivités à haut risque. Les auteures et auteurs de menace font généralement des recherches préliminaires exhaustives pour en apprendre plus sur leurs victimes potentielles et recueillent l’information nécessaire pour procéder à du piratage psychologique ou obtenir les justificatifs d’ouverture de session. Les auteures et auteurs de menace ciblent les réseaux des organisations ou les comptes (comme les courriels) et dispositifs personnels des gens aux fins de surveillance. Pour ce faire, ils ont souvent recours à des espiogiciels — des logiciels malveillants qui collectent les données des dispositifs touchés.

Le présent guide fournit des recommandations aux organisations et aux gens de la société civile pour les aider à atténuer la menace posée par les cyberopérations parrainées par des États sur la base des comportements malveillants observés. Il formule également des recommandations aux fabricants de logiciels pour renforcer la posture de sécurité de leur clientèle.

Table des matières

• Sommaire
• Introduction
• Les cybermenaces qui pèsent sur la société civile
• Atténuation
  • Les organisations de la société civile
  • Les gens de la société civile
  • Les fabricants de logiciels
• Coordonnées
• Ressources
• Avertissement
• Mentions
• Annexe A : Auteures et auteurs de menace parrainés par des états
• Annexe B : Tactiques et techniques employées par les auteures et auteurs de menace parrainés par des états
  • Enterprises
    • Tactique : Reconnaissance [TA0043] (en anglais seulement)
    • Tactique : Accès initial [TA0001] (en anglais seulement)
  • Mobiles
    • Tactiques : Accès initial [TA0027] (en anglais seulement), découverte [TA0032] (en anglais seulement), collecte [TA0035] (en anglais seulement), et commande et contrôle [TA0037] (en anglais seulement)
• Références

Introduction

L’industrie a signalé une intensification dans le nombre et la nature des cybermenaces ciblant la société civile à l’échelle mondiale, ce qui renforce la nécessité de se préparer contre une vaste gamme d’auteures et auteurs de menace ayant des motivations politiques et idéologiques. On considère les organisations de la société civile comme des collectivités à haut risque en raison de leur niveau de menace élevé et de leurs faibles capacités en matière de défense. Plus particulièrement :

• les organisations de la société civile et leur personnel sont à haut risque d’être ciblés par des auteures et auteurs de cybermenace malveillants. Selon les faits rapportés par l’industrie, ces organisations et leur personnel sont des cibles connues dans la mesure où les auteures et auteurs de menace parrainés par des États cherchent à ébranler les valeurs démocratiques;
• les organisations de la société civile possèdent souvent de faibles capacités en matière de défense. Ces organisations n’ont pas le soutien informatique interne et les pratiques exemplaires en cybersécurité nécessaires pour prévenir la possibilité que survienne une activité malveillante (par exemple, la gestion du cycle de vie, la gestion des correctifs, l’authentification multifacteur et la gestion des mots de passe). Les personnes qui appartiennent à la société civile dépendent souvent de canaux non sécurisés pour communiquer et doivent gérer des profils publics dans le cadre de leur travail. Les organisations ayant de faibles capacités en matière de défense ne sont pas adéquatement préparées pour contrer les cybermenaces courantes, comme les tentatives de piratage psychologique, et sont donc vulnérables.

Dans la plupart des cas, les faibles capacités en matière de défense sont exacerbées par l’utilisation de produits et services conçus de façon telle que le fardeau de réduire les cybermenaces revient à la clientèle ou aux utilisatrices ou utilisateurs finaux. Par exemple, la clientèle ou l’utilisatrice ou utilisateur final doit prendre des mesures particulières, et souvent coûteuses, pour renforcer sa cyberposture.

Ce guide conjoint, qui a été élaboré dans le cadre de l’initiative High-Risk Community Protection (HRCP)^{Notes de bas de page *} de la CISA et de la campagne Defending Democray du NCSC-UK^{Notes de bas de page a}, vise à fournir des mesures d'atténuation aux organisations de la société civile afin de réduire les risques basés sur les cybermenaces courantes. Les organismes ayant rédigé la présente encouragent fortement les organisations de la société civile et les personnes qui y sont affiliées d’appliquer les mesures d’atténuation mentionnées dans ce guide conjoint. Ils encouragent également les fabricants de logiciels à assumer la responsabilité de la sécurité de leur clientèle en mettant en place les mesures d’atténuation formulées dans la présente et en concevant des produits qui permettent de prévenir les catégories d’attaques les plus souvent utilisées par les auteures et auteurs de menace malveillants^{Notes de bas de page b}

Les cybermenaces qui pèsent sur la société civile

Il est difficile pour les organisations commerciales et gouvernementales de fournir une mesure précise des menaces qui pèsent sur les collectivités à haut risque dans la mesure où les données de télémétrie et les flux de renseignement sur les menaces ne font pas l’objet de rapports, et que ces collectivités ont un accès limité aux solutions d’entreprise. Cela dit, les rapports de l’industrie révèlent un certain type de comportement parmi les auteures et auteurs de cybermenace parrainés par un État qui ciblent des segments particuliers de la société civile. Notamment, les organisations non gouvernementales (ONG), les groupes de réflexion, les militantes et militants des droits de la personne et les journalistes sont souvent la cible des auteures et auteurs de menace parrainés par des États :

• Selon Microsoft, en 2023, les ONG et les groupes de réflexion étaient les deux groupes les plus ciblés par les auteures et auteurs de menace parrainés par des États (suivis du secteur des technologies de l’information (en anglais seulement)).^{Notes de bas de page 1}
• Depuis novembre 2023, les rapports de CrowdStrike révèlent que cinq groupes parrainés par des États sont connus pour cibler les groupes de réflexion^{Notes de bas de page 2}, onze groupes posent des menaces potentielles pour les ONG ,^{Notes de bas de page 3}, deux groupes ciblent des organisations dissidentes^{Notes de bas de page 4} et un groupe est connu pour cibler les organismes sans but lucratif (OSBL)^{Notes de bas de page 5}
• Cloudflare a constaté que les cyberactivités malveillantes contre des organisations de la société civile étaient « généralement à la hausse »^{Notes de bas de page 6}. Au cours du deuxième trimestre de 2023, les OSBL ont été ciblés plus souvent que toute autre industrie si on considère le trafic malveillant dirigé vers les sites Web des OSBL comme une proportion du trafic total^{Notes de bas de page 7}. Au cours du troisième trimestre de 2023, les OSBL et les médias indépendants se sont retrouvés au deuxième rang, derrière l’industrie métallurgique et minière. De tout le trafic dirigé vers les OSBL , 17,14 % correspondaient à des attaques par déni de service distribué (DDoS pour Distributed Denial of Service)^{Notes de bas de page 8}. De même, l’Agence de l’Union européenne pour la cybersécurité (ENISA pour European Union Agency for Cybersecurity) a déterminé que les gens de la société civile représentaient le deuxième secteur le plus ciblé à l’échelle mondiale de juillet 2022 à juin 2023^{Notes de bas de page 9}

Les auteures et auteurs de menace parrainés par des États utilisent leurs boîtes à outils pour cibler les organisations de la société civile et leur personnel afin d’ébranler les valeurs démocratiques. Plus précisément, ils ciblent principalement les organisations et leur personnel en ligne en vue d’exercer une contrainte et de faire de l’intimidation, du harcèlement^{Notes de bas de page c} et de la surveillance — un type de répression transnationale que l’on appelle la répression numérique transnationale.

La répression numérique transnationale est souvent précédée d’une recherche exhaustive des sites Web organisationnels, des pages de médias sociaux, des publications géopolitiques et des communiqués de presse. Les auteures et auteurs de menace y ont recours pour recueillir l’information nécessaire pour cibler les organisations et les gens. Après quelques recherches, les auteures et auteurs de menace parrainés par des États arrivent souvent à obtenir accès aux réseaux d’une organisation ou à des dispositifs personnels (a) par piratage psychologique, une activité qui consiste à soutirer les informations d’identification de compte des victimes ou à les convaincre de télécharger des maliciels ou (b) en faisant en sorte que les utilisatrices et utilisateurs téléchargent des applications en apparence légitimes qui hébergent des logiciels malveillants. Après avoir obtenu accès aux dispositifs, les auteures et auteurs de menace installent souvent des espiogiciels sur ceux-ci. Un espiogiciel est un outil commercial qui offre des capacités de surveillance exhaustives, dont le repérage de la position, la capture d’images, l’enregistrement audio et l’accès aux communications et aux fichiers personnels.

Pour de plus amples renseignements sur les groupes parrainés par des États qui ciblent les organisations de la société civile, consulter l’Annenxe A : Auteures et auteurs de menace. Pour des renseignements techniques sur les cyberopérations qui permettent aux auteures et auteurs de menace d’obtenir accès aux réseaux et aux dispositifs, et de surveiller les utilisatrices et utilisateurs, consulter l’Annexe B : Tactiques et techniques employées par les auteures et auteurs de menace parrainés par des États.

Atténuation

Les organisations de la société civile

Les organismes ayant rédigé la présente encouragent fortement les organisations de la société civile à mettre en place les pratiques exemplaires mentionnées par la CISA sur sa page Web Cross-Sector Cybersecurity Performance Goals (CPGs) (en anglais seulement). Ces contrôles de cybersécurité proposent un ensemble de pratiques et de mesures de protection minimales à mettre en place selon les menaces et les comportements les plus courants et les plus percutants. Pour atténuer les activités de reconnaissance menées par des auteures et auteurs de menace afin d’établir un accès initial aux réseaux d’entreprise au moyen de l’hameçonnage et de justificatifs d’identité compromis, il convient d’accorder la priorité aux mesures suivantes :

1. Appliquer les plus récentes mises à jour logicielles aux dispositifs des utilisatrices et utilisateurs et aux infrastructures de TI. Les mises à jour logicielles permettent de corriger des failles connues. Les installer rapidement fait en sorte que les auteures et auteurs de menace ne peuvent pas exploiter ces failles pour accéder aux systèmes.
2. Mettre en œuvre une authentification multifacteur (AMF) résistante à l’hameçonnage [CPG 2.H (en anglais seulement)]. La mise en place d’une AMF résistante à l’hameçonnage fait en sorte qu’il est plus difficile pour les auteures et auteurs de menace de compromettre les comptes d’utilisateur et simplifie souvent par la même occasion la connexion des utilisatrices et utilisateurs légitimes. Prière de consulter le guide Phishing-Resistant Multifactor Authentication (PDF - en anglais seulement) de la CISA pour plus de renseignements.
3. Procéder à la vérification des comptes et désactiver les comptes non utilisés ou inutiles. Supprimez les comptes inutiles pour limiter les vecteurs d’accès susceptibles d’être exploités par les auteures et auteurs de menace pour s’introduire dans le système.
4. Désactiver les comptes d’utilisateur du personnel quittant l’organisation et supprimer leur accès aux ressources organisationnelles [CPG 2.D (en anglais seulement)]. La désactivation des comptes permet de minimiser l’exposition du système, coupant les possibles voies que les auteures et auteurs de menace peuvent exploiter pour s’introduire dans le système.
5. Appliquer le principe de droit d’accès minimal. Vérifiez les comptes ayant les autorisations les plus exhaustives et élevées (accès administrateur) et supprimez toutes les autorisations inutiles pour limiter les dommages qu’une ou un auteur de menace pourrait infliger s’il arrivait à compromettre un compte. Évitez d’utiliser des comptes d’utilisateur administrateur pour exécuter des tâches routinières [CPG 2.E (en anglais seulement)]. L’utilisation de comptes d’utilisateur devrait faire l’objet d’une surveillance régulière pour détecter toute activité non autorisée et malveillante.
6. Exercer une diligence raisonnable au moment de choisir des fournisseurs, dont les fournisseurs de services infonuagiques (FSI) et les fournisseurs de services gérés (FSG). Il sera ainsi possible de réduire les risques liés à la chaîne d’approvisionnement. Ayez recours à des fournisseurs réputés qui expriment clairement la façon dont ils adoptent les pratiques du développement sécurisé. Prière de consulter la section Fabricants de logiciels pour l’engagement de la CISA en matière de développement sécurisé et les pratiques recommandées.
7. Passer en revue les relations contractuelles avec tous les fournisseurs de services en accordant la priorité aux fournisseurs de services essentiels. Il convient de s’assurer que les contrats tiennent compte de ce qui suit :
   • les contrôles de sécurité adaptés pour répondre aux besoins particuliers de la clientèle;
   • la surveillance et la journalisation appropriées des systèmes client gérés par les fournisseurs;
   • une surveillance continue de la présence du fournisseur de services, de ses activités et de ses connexions au réseau client pour garantir sa conformité aux objectifs de performance de la cybersécurité et aux principes du développement sécurisé;
   • la notification d’une liste à jour de destinataires advenant des événements de sécurité et des incidents confirmés ou soupçonnés sur l’infrastructure et le réseau d’administration du fournisseur.
8. Gérer les risques liés à l’architecture de la façon suivante :
   • vérification et examen des connexions entre les systèmes client, les systèmes des fournisseurs de services et les autres enclaves client, en particulier ceux qui sont exposés à Internet, comme les services infonuagiques, les serveurs de courrier électronique et les serveurs de réseaux privés virtuels (RPV);
   • utilisation d’un RPV dédié pour se connecter à l’infrastructure du FSG; le trafic réseau en provenance du FSG ne devrait être acheminé que par l’entremise de cette connexion sécurisée dédiée.
9. Mettre en place une formation de base sur la cybersécurité qui aborde les concepts fondamentaux, comme l’hameçonnage par courriel, ainsi que la sécurité des courriels, de la navigation Web et des mots de passe [CPG 2.I (en anglais seulement)]. Assurez-vous que la formation fait mention du ciblage de courriels et de dispositifs personnels par des auteures et auteurs de menace parrainés par des États et de l’importance pour les membres du personnel de protéger leurs comptes courriel personnels et leurs dispositifs mobiles contre les compromissions en adoptant les recommandations mentionnées ci-dessous.
10. Élaborer et mettre en pratique des plans d’intervention et de reprise en cas d’incident [CPG 2.S (en anglais seulement)]. Assurez-vous que les plans abordent au minimum les systèmes essentiels et importants pour l’organisation et précisez avec qui on doit communiquer pour obtenir de l’assistance ou à qui on doit signaler l’incident. Prière de consulter la section Coordonnées de ce guide pour les renseignements relatifs à l’organisme applicable qui a rédigé la présente. Prière de consulter la section Ressources pour des conseils sur l’élaboration de plans d’intervention et de reprise en cas d’incident.

Les gens de la société civile

Les organismes ayant rédigé la présente encouragent fortement les gens de la société civile à mettre en œuvre les recommandations ci-dessous pour atténuer les répercussions lorsque des auteures et auteurs de menace parrainés par des États arrivent à obtenir accès aux réseaux organisationnels et aux dispositifs mobiles à des fins de surveillance. Ces mesures d’atténuation concordent avec celles proposées dans le cadre du projet Upskill de la CISA. Développé dans le cadre des efforts de planification de l’initiative High-Risk Community Protection de la Joint Cyber Defense Collaborative de la CISA en 2023, le projet Upskill est une série de guides visant à aider les utilisatrices et utilisateurs non techniques à renforcer leur sécurité numérique. Prière de consulter la page Web Project Upskill (en anglais seulement) pour des détails et des conseils sur la façon de mettre en œuvre les recommandations ci-dessous.

• Utiliser des mots de passe robustes pour les comptes et mettre en place l’AMF [Project Upskill, Module 2, Topic 2.0, Topic 2.2 (en anglais seulement)]
  • Faites appel à des solutions d’AMF robustes, comme les jetons numériques et matériels, pour protéger les comptes.
• Limiter l’exposition de l’information accessible au public.
  • Faites preuve de prudence dans les médias sociaux et en ligne. Portez attention à l’information que vous divulguez dans vos plateformes accessibles au public.
  • Préconisez un partage limité de données avec vos proches afin de renforcer la sécurité dans son ensemble contre toute exploitation potentielle.
• Vérifier vos contacts et faire attention au piratage psychologique. Pour renforcer la cybersécurité du personnel et de l’organisation, il est capital de comprendre les menaces et les comportements propres à votre industrie ou à vous personnellement. Établissez une liste de référence qui fait mention des menaces potentielles tout en tenant compte du contexte actuel de risque unique à votre travail, à vos intérêts et à vos organisations. Il peut s’agir de cybermenaces propres à l’industrie, de considérations d’ordre réglementaire et de schémas d’attaque historiques.
  • Confirmez l’identité de vos contacts sur les médias sociaux pour atténuer le risque de faux profils et de tentative de piratage psychologique.
  • Restez à l’affût des tentatives d’usurpation d’identité, en particulier s’il s’agit de personnes prétendant être des journalistes ou des personnalités.
  • Faites preuve de prudence au moment de cliquer sur les liens ou les pièces jointes dans des courriels, des messages texte ou d’autres plateformes de communication.
  • Faites preuve de prudence avant de cliquer sur les liens ou les pièces jointes provenant de sources inconnues.
• Utiliser des mesures de chiffrement pour protéger toutes les communications lors d’interactions avec des services en ligne [Project Upskill, Module 4, Topic 4.0 (en anglais seulement)]. Le chiffrement est essentiel à la protection de toutes les communications établies avec des services en ligne. Sans le chiffrement, les auteures et auteurs de menace peuvent exploiter des canaux non chiffrés et non authentifiés pour injecter des maliciels dans les dispositifs des utilisatrices et utilisateurs, ce qui pose des risques importants pour la vie privée et la sécurité. Pour atténuer ces risques, les utilisatrices et utilisateurs devraient accorder une plus grande importance à l’accès aux sites Web et aux services qu’à l’utilisation du protocole HTTPS, qui chiffre les données échangées entre le dispositif de l’utilisatrice ou utilisateur et le serveur du site Web, offrant du coup une protection contre l’écoute clandestine et le trafiquage par des auteures et auteurs de menace. De plus, l’utilisation d’applications de messagerie chiffrées permet de renforcer davantage la sécurité, puisqu’il est ainsi possible de s’assurer que les messages et les appels sont intacts et confidentiels, et que des parties non autorisées ne seront pas en mesure de les consulter.
• Sélectionner les applications avec soin.
  • Utilisez des boutiques d’application de confiance pour éviter les possibles menaces posées par des applications de tierces parties malveillantes.
  • Vérifiez minutieusement les détails des applications et les renseignements sur le développeur avant de procéder au téléchargement, ce qui permettra d’atténuer les risques potentiels à la source.
  • Vérifiez les applications de tierces parties pour vous assurer qu’elles répondent aux normes de cybersécurité [Project Upskill, Module 1, Topic 1.4 (en anglais seulement)].
• Vérifier et limiter régulièrement les autorisations des applications afin de minimiser l’exposition des données, ce qui permettra de renforcer la sécurité dans son ensemble [Project Upskill, Module 1, Topic 1.3 (en anglais seulement)].
• Appliquer les plus récentes mises à jour aux applications et aux systèmes d’exploitation [Project Upskill, Module 1, Topic 1.1 (en anglais seulement)].
  • Installez les mises à jour sans tarder pour prévenir l’exploitation des vulnérabilités par les auteures et auteurs de menace.
  • Activez la mise à jour automatique des systèmes d’exploitation et des applications pour assurer une maintenance proactive de la sécurité.
• Considérer de redémarrer votre dispositif mobile une fois par semaine pour éliminer les espiogiciels possiblement installés. Certains dispositifs mobiles permettent de planifier des redémarrages. Vous pouvez ainsi les définir à un moment prédéterminé et choisir des intervalles allant d’un redémarrage quotidien à un redémarrage hebdomadaire.
• Faire en sorte que vos habitudes de navigation et la gestion de votre empreinte numérique soient plus sécurisées.
  • Sur les iPhone et les iPad, activez l’adresse Wi-Fi privée d’iOS. Dans un environnement constituant une cible à haut risque, vous pourriez envisager d’activer le mode Lockdown d’iOS. Pour de plus amples renseignements sur la mode Lockdown d’iOS, prière de consulter la page Web À propos du mode Lockdown (Verrouillé) d’Apple.
  • Considérez le recours à des solutions d’isolation de navigateurs à distance pour renforcer la sécurité de la navigation Web au cours d’une recherche de nature sensible.
  • Utilisez un compte d’utilisateur standard pour la navigation et les autres tâches routinières [Project Upskill, Module 1, Topic 1.0 (en anglais seulement)].

Les fabricants de logiciels

Les organismes ayant rédigé la présente encouragent fortement les fabricants de logiciels à s’engager publiquement à développer des logiciels qui sont sécurisés dès leur conception, conformément à l’engagement Secure by Design Pledge (en anglais seulement). Cet engagement consiste à adopter des principes de développement sécurisé (ou Secure by Design (en anglais seulement)), notamment (1) assumer la responsabilité des résultats en matière de sécurité des clientes et clients, (2) faire preuve d’une transparence radicale et d’une responsabilisation indéfectible et (3) utiliser une approche de gestion descendante et exercer un leadership de haut en bas pour opérer une transformation profonde visant à prioriser la sécurité à chaque étape du développement et du déploiement de logiciels. Les mesures d’atténuation visant à améliorer la posture de sécurité de leurs clientes et clients comprennent :

• Gérer les vulnérabilités en s’efforçant d’éliminer des classes complètes de vulnérabilités dans leurs produits afin de réduire les possibilités de compromission. Les auteures et auteurs de cybermenace exploitent couramment des faiblesses bien connues dans les logiciels afin de distribuer leurs charges de virus par l’intermédiaire de maliciels. Les fabricants devraient s’efforcer d’éliminer ces classes de vulnérabilité dans leurs produits pour prévenir les compromissions.
• Activer l’authentification multifacteur (AMF) par défaut dans tous les produits.
• Offrir la journalisation aux clientes et clients sans frais additionnels, et les prévenir lorsque des comportements suspects ou anormaux sont détectés sur leurs réseaux.
• Mettre en œuvre un système d’alertes qui attirent l’attention des clientes et clients afin de les informer de la détection d’une configuration non sécurisée, d’un comportement suspect ou d’un téléchargement de maliciel.
• Présenter de l’information détaillée sur un programme de développement sécurisé dans les rapports financiers de l’entreprise.

Coordonnées

Organisations aux États-Unis : Pour signaler des activités suspectes ou criminelles en lien avec l’information présentée dans le présent guide, prière de communiquer avec :

• le centre des opérations de la CISA fonctionnel 24 heures sur 24, 7 jours sur 7, à Report@cisa.gov (en anglais seulement) ou au 888-282-0870, ou votre bureau local du FBI (en anglais seulement). Lorsqu’ils sont connus, prière d’indiquer les détails suivants concernant l’incident : la date, l’heure et le lieu de l’incident; le type d’activité; le nombre de personnes touchées; le type d’équipement utilisé pour l’activité; le nom de l’entreprise ou de l’organisation qui signale l’incident; une personne-ressource.

Organisations au Canada : Prière de signaler les incidents au Centre canadien pour la cybersécurité par courriel à contact@cyber.gc.ca.

Organisations en Estonie : Prière de signaler les incidents de cybersécurité à cert@cert.ee ou au +372 663 0299.

Organisations en Finlande : Prière de communiquer avec le NCSC-FI par courriel à ncsc@ncsc.fi ou de signaler les incidents au https://www.kyberturvallisuuskeskus.fi/en/report (en anglais seulement).

Organisations au Japon : Pour signaler des incidents en lien avec ce guide, prière de consulter le https://www.kantei.go.jp/jp/forms/nisc_opinion.html (NISC - en japonais seulement) ou d’envoyer un courriel à info@jpcert.or.jp (JPCERT/CC). Pour signaler une activité criminelle, prière de consulter le https://www.npa.go.jp/bureau/cyber/soudan.html (ANP - en japonais seulement).

Organisations au Royaume-Uni : Prière de signaler un incident de cybersécurité majeur à ncsc.gov.uk/report-an-incident (surveillé en permanence - en anglais seulement) ou de composer le 03000 200 973 pour obtenir une assistance d’urgence.

Ressources

Prière de consulter le Project Upskill (en anglais seulement) de la CISA pour obtenir des conseils détaillés visant à améliorer votre posture de cybersécurité et à augmenter le temps et les ressources nécessaires à une auteure ou à un auteur de menace pour vous cibler.

Prière de consulter la page Web Cybersecurity Training & Exercises (en anglais seulement) de la CISA pour connaître la formation en cybersécurité offerte au grand public.

Pour plus de détails sur les plans d’intervention et de reprise en cas d’incident, prière de consulter les pages Web suivantes :

• CISA: Incident Response Plan Basics (PDF - en anglais seulement) et Federal Government Cybersecurity Incident and Vulnerability Response Playbook (PDF - en anglais seulement). (Bien que ces guides soient conçus expressément pour les organismes fédéraux des États Unis, ils présentent des procédures opérationnelles concernant la planification et la conduite d’activités de gestion des vulnérabilités et d’intervention en cas d’incident de cybersécurité, et décrivent les étapes connexes.)
• NCSC-EE : Pour la sensibilisation et la prévention en matière de cybersécurité, prière de consulter le https://www.itvaatlik.ee/ (en estonien seulement)

Prière de consulter la plateforme d’assistance pour la sécurité numérique d’Access Now et le Security Lab (en anglais seulement) d’Amnistie internationale pour un soutien concret aux défenseures et défenseurs des droits de la personne et aux membres de la société civile. Prière d’envoyer un courriel à Cisco à no-spyware@external.cisco.com pour obtenir de l’assistance.

Si vous êtes aux prises avec une urgence de sécurité numérique, la Helpline de sécurité numérique d’Access Now et le Security Lab (en anglais seulement) d’Amnistie internationale offrent un soutien concret aux défenseures et défenseurs des droits de la personne et aux membres de la société civile qui croient faire l’objet d’une attaque ciblée.

Si vous pensez être la cible d’un espiogiciel, vous pouvez également envoyer un courriel à Cisco à no-spyware@external.cisco.com pour obtenir de l’assistance aux fins d’enquête.

Avertissement

Les renseignements contenus dans ce rapport sont fournis « tels quels » à titre d’information seulement. Les organismes ayant rédigé la présente n’appuient pas de services, d’entreprises, d’entités ou de produits commerciaux, y compris ceux référencés dans la présente. Toute référence à des services, processus, entités ou produits précis par marque de service, marque de commerce, fabricant ou autre, ne constitue pas ni ne sous-entend leur approbation, leur recommandation ou leur préférence par les organisations ayant rédigé la présente.

Mentions

Atlantic Council, Authentic8, Cisco Talos, Cloudflare, IBM et Meta ont contribué à ce guide.

Annexe A : Auteures et auteurs de menace parrainés par des états

D’après des rapports de l’industrie, les États parrainant le ciblage des collectivités à haut risque sont principalement les gouvernements de la Russie, de la Chine, de l’Iran et de la Corée du Nord;^{Notes de bas de page **} cependant, des recherches de groupes de réflexion suggèrent que plusieurs autres pays ont aussi recours à des tactiques de répression numérique transnationale, particulièrement pour punir les dissidentes et dissidents ou les réduire au silence.

Voici une liste non exhaustive de groupes connus pour cibler des organisations de la société civile :

• Velvet Chollima : Groupe lié à la République populaire démocratique de Corée (RPDC) qui se livre au cyberespionnage. Velvet Chollima cible principalement des journalistes qui relatent les enjeux dans la péninsule coréenne ainsi que des chercheuses et chercheurs qui s’intéressent à la politique sur l’Asie orientale dans les ONG , les groupes de réflexion et les établissements universitaires.^{Notes de bas de page 10}
  • Alias : Kimsuky, THALLIUM, Black Banshee, Emerald Street
• Mustang Panda : Groupe affilié à la Chine qui se spécialise dans l’espionnage politique. Le groupe cible intensément les ONG , les établissements religieux, les groupes de réflexion et les groupes d’activistes dans diverses régions géographiques, notamment les États-Unis, l’Europe, Taïwan, Hong Kong, le Tibet, le Myanmar, la Mongolie, le Vietnam, l’Afghanistan, le Pakistan et l’Inde. Son principal objectif est de surveiller méticuleusement les activités de ses victimes dans le but de ternir leur réputation.^{Notes de bas de page 11} Les tactiques de Mustang Panda témoignent de son efficacité à exécuter des campagnes d’espionnage politique prolongées et ciblées.
  • Alias : BRONZE PRESIDENT, TA416, RedDelta
• Charming Kitten : Groupe associé au gouvernement iranien qui se spécialise dans le ciblage de dissidentes et dissidents politiques, d’organisations de défense des droits de la personne, de médias et d’érudites et érudits poursuivant des études sur l’Iran, dans le but d’extraire du renseignement par cyberespionnage. Selon les observations de Certfa, une équipe d’intervention en cas d’urgence informatique qui se spécialise dans le suivi des auteures et auteurs de cybermenace iraniens, Charming Kitten cible « des personnes, des établissements universitaires, des journalistes, des activistes, des groupes de réflexion, et des entités militaires et gouvernementales aux États-Unis, en Europe et au Moyen-Orient depuis 2014. »^{Notes de bas de page 12}D’août 2020 à mai 2021, IBM X-Force a consigné la compromission, par Charming Kitten, de plusieurs victimes dans le mouvement réformiste iranien. Cette campagne avait pour visée stratégique d’infiltrer des comptes personnels de médias sociaux et de courriel Web, conformément aux objectifs de surveillance avant les élections présidentielles iraniennes de juin 2021.^{Notes de bas de page 13}
  • Alias : TA453, COBALT ILLUSION, Magic Hound, ITG18, Phosphorus, Newscaster, APT35, Mint Sandstorm
• Earth Empusa : Groupe identifié comme étant parrainé par la Chine et dont l’objectif principal est de surveiller les activistes, les journalistes et les dissidentes et dissidents, particulièrement les Ouïghoures et Ouïghours résidant à l’étranger, dans des pays comme la Turquie, le Kazakhstan, les États-Unis, la Syrie et l’Australie.^{Notes de bas de page 14}
  • Alias : POISON CARP^{Notes de bas de page 15}, Evil Eye^{Notes de bas de page 16}
• Armée électronique syrienne (SEA) ou APT-C-27 : Groupe spécialisé dans la conduite d’opérations ciblées contre des organisations humanitaires, des journalistes et des dissidentes et dissidents, notamment ceux qui sont affiliés à l’Armée syrienne libre de l’opposition prodémocratie.^{Notes de bas de page 17}

• Midnight Blizzard : Le groupe de pirates du service de renseignement extérieur russe cible principalement des réseaux du gouvernement, des groupes de réflexion, des organismes d’analyse de politiques et des sociétés du secteur des technologies de l’information. Ces auteures et auteurs de menace ont eu recours à de multiples moyens pour obtenir un accès initial. Parmi ces moyens, certains n’exigent que peu d’efforts sur le plan des capacités, comme le harponnage de courriels et de services de messages de tiers ciblant des comptes professionnels ou personnels, ainsi que l’exploitation de dispositifs Web et de fonctionnalités de connexion à distance vulnérables. Les attaquantes et attaquants peuvent tirer parti des réseaux privés virtuels. Lorsqu’elles s’avèrent fructueuses, ces approches qui n’exigent que peu d’efforts, mais qui peuvent rapporter beaucoup, permettent aux auteures et auteurs de menace de voler de l’information sensible, d’acquérir les justificatifs d’identité d’utilisatrices et d’utilisateurs, et d’obtenir un accès permanent aux réseaux de leurs victimes.
  • Alias : APT 29

Annexe B : Tactiques et techniques employées par les auteures et auteurs de menace parrainés par des états

Pour les organismes ayant rédigé la présente, la première étape à entreprendre pour protéger les données et les réseaux consiste souvent à comprendre le comportement des auteures et auteurs de cybermenace. Cette compréhension est aussi essentielle aux responsables de la défense des réseaux des organisations possédant d’importantes ressources pour parvenir à détecter et à atténuer les cyberopérations malveillantes. Bien que les organisations de la société civile ne possèdent pas nécessairement le personnel interne spécialisé requis pour défendre leurs réseaux, la compréhension des comportements malveillants les aidera à prendre des décisions éclairées en matière de ressources pour la mise en œuvre de contrôles de cybersécurité de base qui atténueront les activités malveillantes parrainées par des États.

Cette annexe présente un sommaire des cyberopérations qui permettent aux auteures et auteurs de menace de recueillir de l’information aux fins de ciblage, puis d’accéder aux réseaux ou aux appareils mobiles d’entreprise dans le but de les surveiller ou d’en apprendre davantage au sujet de la mission, des intérêts et des contacts de la cible. Les activités sont mises en correspondance avec le cadre MITRE ATT&CK, une base de connaissances des comportements malveillants dans le cyberespace qui est accessible à l’échelle mondiale, qui classe les comportements en fonction de tactiques et de techniques définies^{Notes de bas de page d} :

• Les tactiques représentent le « pourquoi », c’est-à-dire les objectifs techniques, les objectifs ultimes et les motivations qui poussent les auteures et auteurs de cybermenace à agir.
• Les techniques représentent le « comment », c’est-à-dire les moyens qu’emploie un adversaire pour atteindre un objectif tactique.

MITRE ATT&CK est divisé en trois cadres de « domaines technologiques », soit l’écosystème dans lequel les auteures et auteurs de menace mènent leurs activités : enterprise (en anglais seulement), mobiles (en anglais seulement) et systèmes de contrôle industriels (en anglais seulement).^{Notes de bas de page e} La présente annexe offre une vue d’ensemble des tactiques et des techniques utilisées contre les organisations de la société civile dans les cadres pour entreprises et pour mobiles (version 14).

Enterprise

Tactique : reconnaissance [TA0043 (en anglais seulement)]

Définition : Les auteures et auteurs de menace recueillent de l’information qu’ils peuvent utiliser pour d’autres opérations.

Description des techniques de reconnaissance connues : Les auteures et auteurs parrainés par des États font des recherches dans les sources ouvertes pour recueillir de l’information sur leurs cibles. La nature publique de nombreuses organisations de la société civile et de leur effectif les expose à des risques accrus. Plus précisément, les organisations et les gens de la société civile ont souvent une grande présence en ligne par l’intermédiaire de sites Web organisationnels, de plaidoyer sur les médias sociaux, de publications géopolitiques et de communiqués de presse. Les auteures et auteurs de menace parrainés par des États se servent de cette information pour :

• définir et prioriser les objectifs post-compromission;
• établir les cibles, y compris les personnes précises à cibler dans le cadre de campagnes d’hameçonnage potentielles;
• recueillir de l’information sur les réseaux et les appareils (telle que les adresses IP et les systèmes d’exploitation).

Les auteures et auteurs de menace utilisent également l’hameçonnage, une forme de piratage psychologique, afin de voler des justificatifs d’ouverture de session et ainsi obtenir un accès initial aux réseaux. Dans le cadre de ces activités malveillantes, les auteures et auteurs se présentent comme des sources dignes de confiance (p. ex. des collègues, des connaissances ou des organisations) pour inciter les victimes à fournir leurs justificatifs d’ouverture de session – souvent en les saisissant dans un site Web contrôlé par l’auteure ou auteur de menace.

Les auteures et auteurs étatiques investissent beaucoup de temps et de ressources à la conception d’identités pour mener des tentatives d’hameçonnage personnalisées et méticuleuses (ce que l’on appelle communément le « harponnage »). Bien qu’ils réalisent ces tentatives principalement par courriel, les auteures et auteurs de menace adaptent leurs tactiques en fonction des préférences de communication des collectivités à haut risque et exploitent également la messagerie texte, les plateformes de médias sociaux et divers canaux numériques destinés à la recherche et au plaidoyer.

Exemple – Velvet Chollima : Velvet Chollima mène des activités de reconnaissance pour recueillir du renseignement sur la mission, les intérêts et les contacts professionnels de ses cibles. Dans le cadre de ces activités, le groupe a dupé les utilisatrices et utilisateurs et les a amenés à entrer leurs justificatifs d’ouverture de session dans un site Web frauduleux qui ressemblait à la page d’ouverture de session de Google. Il s’est emparé des détails d’ouverture de session des victimes et a établi un accès dans le but de mener des activités de suivi.

Mise en correspondance avec MITRE ATT&CK : Voir le Tableau 1 pour les techniques de reconnaissance connues mises en correspondance avec le cadre MITRE ATT&CK pour entreprises.

Tableau 1 : Techniques de reconnaissance de MITRE ATT&CK

Nom de la technique	ID	Description
Collecte d’information sur l’organisation de la victime	T1591 (en anglais seulement)	Les auteures et auteurs malveillants recueillent de l’information sur l’organisation ciblée (ou l’organisation de personnes ciblées), qu’ils peuvent ensuite utiliser dans le cadre d’opérations futures.
Recherche dans les domaines et les sites Web ouverts	T1593 (en anglais seulement)	Les auteures et auteurs de menace font des recherches dans les sites Web et/ou dans les domaines pour trouver de l’information sur des cibles, qu’ils peuvent ensuite utiliser dans le cadre d’opérations futures.
Recherche dans les domaines et les sites Web ouverts : Médias sociaux	T1593.001 (en anglais seulement)	Les auteures et auteurs de menace font des recherches dans les médias sociaux pour trouver de l’information sur des cibles, qu’ils peuvent ensuite utiliser dans le cadre d’opérations futures.
Collecte d’information sur l’identité de la victime	T1589 (en anglais seulement)	Les auteures et auteurs malveillants recueillent de l’information sur une personne ciblée ou sur le personnel d’une organisation ciblée, qu’ils peuvent ensuite utiliser dans le cadre d’opérations futures. L’information sur des entités peut être très variée, dont des données personnelles (p. ex. des noms et des adresses courriel de membres du personnel) et des détails sensibles (p. ex. des justificatifs d’identité).
Collecte d’information sur l’hôte de la victime	T1592 (en anglais seulement)	Les auteures et auteurs de menace recueillent de l’information sur les hôtes de leurs victimes (appareils, ordinateurs, serveurs), qu’ils peuvent ensuite utiliser pendant le ciblage. L’information sur les hôtes peut être très variée, dont des données administratives (p. ex. l’adresse IP attribuée) et des détails concernant leur configuration (p. ex. le système d’exploitation).
Collecte d’information sur le réseau de la victime	T1590 (en anglais seulement)	Les auteures et auteurs de menace recueillent de l’information sur les réseaux de leurs victimes, qu’ils peuvent ensuite utiliser pendant le ciblage. L’information sur les réseaux peut être très variée, dont des données administratives (p. ex. des adresses IP, des noms de domaines) et des détails concernant leur topologie et leur fonctionnement.
Hameçonnage pour obtenir de l’information	T1598 (en anglais seulement)	Les auteures et auteurs de menace envoient des messages d’hameçonnage pour obtenir de l’information sensible (p. ex. des justificatifs d’ouverture de session), qu’ils peuvent ensuite utiliser dans le cadre d’opérations futures.

Tactique : accès initial [TA0001 (en anglais seulement)]

Définition : Il est question d’accès initial lorsque les auteures et auteurs de cybermenace tentent d’obtenir un accès à un réseau ciblé.

Description des techniques d’accès initial connues : Les auteures et auteurs de menace persistante avancée (MPA) utilisent des justificatifs d’identité obtenus dans le cadre de tentatives d’hameçonnage (voir la section Reconnaissance) pour accéder aux réseaux.

Les auteures et auteurs de MPA ont également recours à l’hameçonnage fondé sur les maliciels pour acquérir un accès initial à leurs cibles. Dans le cadre d’attaques par hameçonnage fondé sur les maliciels, les auteures et auteurs malveillants se font passer pour des sources fiables afin d’inciter leurs victimes à cliquer sur un hyperlien malveillant ou sur une pièce jointe malveillante qui mènera à l’exécution d’un maliciel sur les systèmes hôtes. Le maliciel déployé peut ensuite donner lieu au vol de données, à la surveillance ou à des cyberintrusions avancées. Remarque : La prévalence de faiblesses bien connues dans les logiciels facilite souvent l’hameçonnage et est exploitée par les auteures et auteurs de menace pour distribuer leurs charges de maliciel.

Exemples : Les groupes de MPA associés à l’Iran, à la Chine, à la Corée du Nord et à la Russie intègrent des courriels de harponnage à leurs campagnes plus vastes visant les collectivités à haut risque. Ces groupes déploient des messages personnalisés et très convaincants pour inciter les utilisatrices et utilisateurs à cliquer sur les liens ou les pièces jointes.

Velvet Chollima :

On a constaté que les auteures et auteurs de menace de Velvet Chollima se font passer pour des journalistes sollicitant une entrevue ou des érudites et érudits sollicitant la participation à un sondage. Velvet Chollima établit la confiance dans une séquence de courriels initiaux, puis introduit tactiquement des éléments malveillants dans des communications subséquentes, généralement au moyen de pièces jointes ou de liens trompeurs. Notamment, ces liens dissimulent souvent des maliciels qui donnent à Velvet Chollima un accès non autorisé à l’ordinateur de la victime et facilitent la surveillance de ses communications.

Par ailleurs, Velvet Chollima a établi des règles de retransmission automatique dans le compte courriel d’une victime pour garantir la surveillance continue des communications même si l’accès direct au compte est perdu.

Les opérations de harponnage de Velvet Chollima témoignent d’une stratégie de cyberespionnage nuancée et ciblée qui emploie le piratage psychologique et des charges de maliciels pour infiltrer et surveiller les communications de cibles très prisées.

Mustang Panda :

Ce groupe utilise le plus souvent des courriels de harponnage comme vecteur d’intrusion initial, principalement pour déployer des chevaux de Troie autorisant un accès à distance. Il peut ainsi contrôler à distance l’ordinateur de la cible et surveiller toutes ses activités. Mustang Panda emploie des tactiques stratégiques pour inciter les cibles à cliquer sur des liens ou des pièces jointes, en faisant souvent référence à des événements d’actualité et en intégrant des versions malveillantes de documents volés ou légitimes. À titre d’exemple, en janvier 2022, des courriels envoyés à des cibles européennes comprenaient, en pièce jointe, un rapport-appât de la Commission européenne ainsi qu’un lien vers un communiqué de presse de l’Union européenne sur les priorités en matière de droits de la personne.

Après avoir obtenu l’accès initial, Mustang Panda utilise des techniques sophistiquées pour établir une surveillance secrète et prolongée. Dans plusieurs cas, le groupe a démontré qu’il pouvait surveiller et exfiltrer des données pendant une longue période, prouvant ainsi sa capacité à rester indétecté sur le réseau d’une organisation.

Charming Kitten :

Par l’intermédiaire de diverses plateformes de communication en ligne, Charming Kitten exécute des opérations avancées de piratage psychologique. Le groupe de MPA crée des identités fictives de façon stratégique, par exemple se disant journaliste ou employé d’une ONG , pour engager des conversations trompeuses avec des cibles et ainsi gagner leur confiance avant de déployer des fichiers ou des liens malveillants. En mai 2020, IBM X Force a découvert 40 gigaoctets de vidéos de formation de Charming Kitten qui ont procuré de l’information utile sur ses méthodologies d’exfiltration de données sur d’importantes plateformes de courriels.

Mise en correspondance avec le cadre MITRE ATT&CK pour entreprises : Voir le Tableau 2 pour les techniques d’accès initial mises en correspondance avec le cadre MITRE ATT&CK.

Tableau 2 : Cadre MITRE ATT&CK pour entreprises : Techniques d’accès initial

Nom de la technique	ID	Utilisation
Hameçonnage	T1566 (en anglais seulement)	Les auteures et auteurs de menace envoient des messages d’hameçonnage pour obtenir l’accès aux systèmes des victimes. Les messages mènent à l’exécution de code ou au téléchargement d’un maliciel sur les systèmes des victimes.
Hameçonnage : Pièce jointe de harponnage	T1566.001 (en anglais seulement)	Les auteures et auteurs de menace envoient des courriels de harponnage auxquels est joint un document malveillant, dans le but d’obtenir l’accès aux systèmes des victimes.
Hameçonnage : Lien de harponnage	T1566.002 (en anglais seulement)	Les auteures et auteurs de menace envoient des courriels de harponnage contenant un lien malveillant dans le but d’obtenir l’accès aux systèmes des victimes. Le lien entraîne le téléchargement d’un maliciel sur le système de la victime, généralement par piratage psychologique pour encourager les destinataires à cliquer sur l’URL ou à la copier (dans ce cas, la technique connexe d’exécution par l’utilisatrice ou utilisateur est requise [T1204 (en anglais seulement)]).

Mobiles

Tactiques : accès initial [TA0027 (en anglais seulement)], découverte [TA0032 (en anglais seulement)], collecte [TA0035 (en anglais seulement)], et commande et contrôle [TA0037 (en anglais seulement)]

Définitions : Il est question d’accès initial lorsque les auteures et auteurs de cybermenace tentent d’obtenir l’accès à un appareil mobile ciblé. Il est question de découverte lorsque les auteures et auteurs de menace tentent d’apprendre des détails sur l’appareil pour appuyer leurs opérations. On parle de collecte lorsque les auteures et auteurs de menace tentent de recueillir des données d’un appareil. On parle de commande et contrôle lorsque les auteures et auteurs de menace tentent de communiquer avec les appareils compromis pour les contrôler.

Description des techniques connues : Les auteures et auteurs de menace utilisent l’hameçonnage pour obtenir l’accès à des appareils, souvent par message texte. Ils se servent également d’applications dissimulant un cheval de Troie. Les utilisatrices et utilisateurs téléchargent ces applications en apparence légitimes qui hébergent des logiciels malveillants, ce qui permet aux auteures et auteurs de menace d’accéder à l’information sensible des utilisatrices et utilisateurs, notamment des registres d’appels et des données de géolocalisation, et de prendre le contrôle de leur appareil.

Après avoir obtenu l’accès aux appareils, les auteures et auteurs malveillants installent souvent des espiogiciels, comme Pegasus et Intellexa, sur les appareils des victimes. Un espiogiciel est un outil qui offre des capacités de surveillance exhaustives, dont le repérage de la position, la capture d’images, l’enregistrement audio et l’accès aux communications et aux fichiers personnels.

Exemples : Les exemples ci-dessous décrivent la façon dont les auteures et auteurs de cybermenace parrainés par des États utilisent les applications dissimulant un cheval de Troie et les espiogiciels dans le cadre de leurs campagnes.

Earth Empusa :

En 2021, Meta a signalé que Earth Empusa avait établi des sites Web trompeurs qui ressemblaient à des magasins d’applications Android tiers. Ces fausses plateformes hébergeaient des applications personnalisées pour un auditoire ouïgour (groupe ethnique turque provenant des régions généralisées de l’Asie centrale et orientale et qui y est culturellement affilié), y compris une application de clavier, une application de prière et une application de dictionnaire.

Une analyse de TrendMicro a révélé qu’après avoir téléchargé ces applications, les appareils des utilisatrices et utilisateurs sont devenus infectés par un maliciel. Le programme malveillant conçu par Earth Empusa visait à recueillir toute une gamme de données sensibles, dont de l’information de géolocalisation, des registres d’appels et des messages texte. Par ailleurs, le maliciel a donné un accès non autorisé aux capacités de caméra, de microphone et de saisie d’écran de l’appareil, ce qui témoigne des techniques intrusives et avancées de surveillance du groupe.

APT-C-27 :

Afin de compromettre la sécurité de ces personnes, APT-C-27 a ingénieusement conçu des applications malveillantes, dont une application nommée VPN Secure (c’est-à-dire « RPV sécurisé » en français), accompagnées de fausses versions de plateformes de communication populaires telles que Telegram et une application de nouvelles de la Syrie. Cette utilisation stratégique d’applications semblant inoffensives reflète l’approche sophistiquée adoptée par APT-C-27 pour tenter de compromettre la sécurité et la vie privée de ses cibles.

APT-C-27 a orchestré une seconde campagne contre d’anciennes ou anciens membres du personnel militaire et des membres affiliées ou affiliés de l’Armée syrienne libre. Au moyen du piratage psychologique, le groupe a réussi à convaincre les cibles de cliquer sur les liens menant vers des sites Web malveillants qui ressemblaient en tout point à des services populaires comme Telegram et Facebook.

Mise en correspondance avec le cadre MITRE ATT&CK pour mobiles : Voir les Tableaux 3 à Tableau 6 pour les techniques mises en correspondance avec le cadre MITRE ATT&CK pour mobiles.

Tableau 3 : MITRE ATT&CK pour mobiles : Techniques d’accès initial

Nom de la technique	ID	Description
Hameçonnage	T1660 (en anglais seulement)	Les auteures et auteurs de menace envoient du contenu malveillant pour obtenir l’accès aux appareils des victimes.

Tableau 4 : MITRE ATT&CK pour mobiles : Techniques de découverte

Nom de la technique	ID	Description
Suivi de localisation	T1430 (en anglais seulement)	Les auteurs et auteurs de menace suivent l’emplacement physique d’un appareil.

Tableau 5 : MITRE ATT&CK pour mobiles : Techniques de collecte

Nom de la technique	ID	Description
Données protégées de l’utilisatrice ou utilisateur : registre d’appels	T1636.002 (en anglais seulement)	Les auteures et auteurs de menace recueillent les données des registres d’appels.
Données protégées de l’utilisatrice ou utilisateur : messages texte	T1636.004 (en anglais seulement)	Les auteures et auteurs de menace recueillent les messages textes.
Capture vidéo	T1512 (en anglais seulement)	Les auteures et auteurs de menace utilisent la caméra d’un appareil pour recueillir de l’information en saisissant des enregistrements vidéo. Ils peuvent également saisir des images à des intervalles précis au lieu de fichiers vidéo.
Enregistrement audio	T1429 (en anglais seulement)	Les auteures et auteurs de menace enregistrent l’audio, comme les conversations de l’utilisatrice ou utilisateur, les sons de son environnement et ses appels téléphoniques.
Saisie d’écran	T1513 (en anglais seulement)	Les auteures et auteurs de menace utilisent la saisie d’écran pour recueillir de l’information sur l’appareil d’une cible, telle que les applications exécutées en premier plan, les données utilisateur et les justificatifs d’identité.

Tableau 6 : MITRE ATT&CK pour mobiles : Techniques de commande et contrôle

Nom de la technique	ID	Utilisation
Transfert d’outils d’entrée	T1544 (en anglais seulement)	Les auteures et auteurs de menace transfèrent des outils, des fichiers ou des maliciels d’un système externe à l’appareil d’une victime.