Après Rouen en 2019, Dax dans les Landes puis Villefranche dans la Saône et désormais la ville de Chalon-sur-Saône : ces centres hospitaliers ou leurs collectivités ont été victimes de logiciels malveillants, paralysant leur système informatique.
Entre 2017 et 2020, plusieurs collectivités et entreprises françaises ont été sujettes à des attaques, souvent suivies de demandes de rançon. Le kidnapping de données immobilise parfois des secteurs extrêmement périlleux, comme les hôpitaux, déjà bien affaiblis par la crise sanitaire.
Ailleurs Bouygues, Honda, Stadler rail (une entreprise suisse), Canon, Sopra Steria et tout récemment Gmail/Hotmail ont aussi subi ce type d’attaques.
Une nouvelle modalité d’extorsion des données semble d’ailleurs émerger. Il s’agit d’une forme d’extorsion numérique plus rapide, sans cryptage de données, mais toujours avec le paiement d’une rançon. Les pays les plus touchés sont notamment le Nigéria, la Colombie, l’Afrique du Sud, la Chine, la Pologne, la Belgique et les Philippines.
D’après une étude récente de Xerfi cette forme de cybercriminalité aurait coûté aux entreprises dans le monde environ 350 milliards d’euros en 2017 et 885 milliards d’euros en 2020.
Le cabinet Accenture évalue d’ailleurs, pour la projection de période 2019-2024, le coût de la cybercriminalité pour les entreprises à l’échelle mondiale à 4 600 milliards d’euros.
Alors comment fonctionne ce type d’attaques ? Et comment s’en prémunir ?
Des modes opératoires proches des kidnappings de personnes
Mes recherches sur le kidnapping et l’extorsion montrent des modes opératoires assez similaires entre le rançonnage « physique » impliquant directement des personnes et le kidnapping dit « virtuel » ou « immatériel ».
L’instantanéité des échanges d’informations toujours plus rapides et volumineuses dans l’entreprise comme dans la société trouve un écho chez les cybercriminels.
Ces derniers utilisent des logiciels aux noms comme Darkside, Ryuk, Egregor, DoppelPaymer, REvil ou bien encore Avaddon. Ils capturent les données en les cryptant, en échange d’une rançon plutôt sous forme de cryptomonnaie en contrepartie d’une clef de déchiffrement permettant de récupérer les données.
Certaines organisations commerciales ont ainsi dû verser jusqu’à un million de dollars pour une seule attaque, alors que d’autres ont subi des pertes de plusieurs centaines de millions de dollars.
Une étude récente montre l’impact économique des logiciels de rançon sur les entreprises, entre les sommes versées et la perte de revenus liée à l’arrêt de l’activité et de la production.
Depuis 2018, il est estimé que le coût de la cybercriminalité mondiale a atteint plus de 1 000 milliards de dollars. Le record actuel du montant du rançonnage est de 34 millions de dollars. Il est attribué à une entreprise dont l’identité est encore sous anonymat.
Évolution du ransomware
Les recherches montrent que le ransomware a connu une évolution importante et progressive. Nous sommes très rapidement passés des logiciels paralysant les données (locker ransomware) contre rançon aux logiciels capturant les données en les cryptant (cryptoransomware) en échange d’une rançon souvent sous forme de cryptomonnaie s’illustrant par le bitcoin.
On observe aujourd’hui une utilisation conjointe du cryptoransomware et du bitcoin, notamment pour le versement d’une rançon, car ce mode de paiement se veut indétectable et permet de faire des transferts d’argent sans passer par une autorité tierce.
Dans le monde réel, le kidnapping contre rançon est tout aussi diversifié.
Il existe le bossnapping, (séquestration de patron) ou la « balade au millionnaire », le kidnapping express, le kidnapping terroriste ou le kidnapping crapuleux.
Le bossnapping est une pratique qui consiste à ne kidnapper que des chefs d’entreprises notamment par des employés en échange du retour d’une cause demandée par une organisation telle que les syndicats. Pensons ici au cas de Fernando Ruzza, directeur général de la filière de la filiale Omnia Network SPA. Ce dernier avait été séquestré par ses employés suite à leurs licenciements alors que l’entreprise avait augmenté ses profits.
Le kidnapping express, qui consiste à kidnapper une personne devant un distributeur de billets de banque est par exemple très répandu en Amérique latine.
Quelles conséquences pour les auteurs et l’entreprise ?
Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 121-3 du CP). Ensuite, concernant l’atteinte au système le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende.
Même si juridiquement l’infraction est bien caractérisée par la législation française (art. 121-3 du CP), on note, selon Europol, une certaine inefficacité à les appliquer. Par exemple, en France un seul mis en cause a été jugé dans une affaire en octobre. S’il a été condamné pour des faits de blanchiment, il a en revanche était relaxé pour les faits liés aux affaires de rançongiciel.
Comme le confirme dans le journal Le Monde, Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la Direction centrale de la police judiciaire (DCPJ), les interpellations pour des faits liés aux rançongiciels demeurent très rares.
En effet, les rançongiciels ont pris de vitesse les autorités, impuissantes à juguler le phénomène. C’est donc, selon elle, extrêmement compliqué de trouver les auteurs. D’autant plus que contrairement au monde réel, il n’est pas possible de compter sur les informations des services de renseignements contrairement au terrorisme.
Ce qui donne plus d’envergure au travail effectué par les services d’Europol dans le démantèlement d’Emotet, l’un des plus grands réseaux d’ordinateurs infectés et utilisés par certains rançongiciels pour faire des victimes.
Mais également de l’équipe à l’origine du rançongiciel Egregor interpellée récemment en Ukraine par les mêmes services.
Selon les études, il ressort que le risque de défaillance (répercussions et risques d’atteintes à l’entreprise) peut augmenter de 50 % dans les trois mois qui suivent l’annonce de l’incident.
Ce risque peut aller jusqu’à 80 % pour les entreprises françaises. À cela s’ajoute une perte de valorisation de 8 à 10 % après l’annonce, sans compter des dommages immatériels liés à la réputation de l’entreprise. Tout ceci s’effectue dans un contexte où la progression des attaques de rançongiciels est de 255 % en 2020.
Le ransomware comme « service commercial »
Le marché noir du ransomware fonctionne « as a service » c’est-à-dire comme une offre de service. Les logiciels ransomware sont fabriqués par des opérateurs qui recrutent ce que le jargon nomme des « affiliés », des opérationnels, qui vont hacker et ensuite partager le magot en pourcentage avec les opérateurs (créateurs du logiciel).
Ce sont ces affiliés qui vont infiltrer le réseau des victimes via le rançongiciel. La rançon qui sera obtenue fera ensuite l’objet d’un partage entre les affiliés et le vendeur du logiciel à des taux variables selon des critères qui peuvent dépendre de l’appartenance au groupe par exemple.
Il est d’ailleurs d’usage que certains affiliés décident de ne pas travailler avec certains opérateurs dans la mesure où il estime que le pourcentage de rétrocession est trop important.
Ce processus est à comparer avec le kidnapping contre rançon dans le monde réel, situation que Dorothée Moisan, journaliste d’investigation décrit dans son ouvrage Le business des otages
Qui sont ces cyber-extorsionnistes ?
Le processus repose par ailleurs sur un triptyque récurrent : crypter les données empêchant leur utilisation par l’usager, obtenir le paiement et décrypter les données.
Les résultats des études menées à l’échelle mondiale au niveau des organisations montrent que dans 73 % des cas, les cybercriminels ont réussi à crypter les données, alors que dans 24 % des cas, l’attaque a échoué, empêchant le cryptage des données. Plus particulièrement en France, on observe que 17 % des attaques ont été stoppées avant que les données ne soient attaquées au sein des organisations.
Concernant la localisation géographique on observe que la plupart des hackers proviennent de pays tels que la Russie et ceux de l’Europe de l’Est comme l’Ukraine dans la mesure où le codage se fait le plus souvent sur les créneaux horaires de ces pays avec des écritures en alphabet cyrillique.
Les failles de l’usager
Les recherches à ce sujet montrent par ailleurs que la plupart des particuliers manquent de rigueur et de connaissances informatiques. Il s’agit là d’une faille importante, car les hackers se servent de cette négligence pour injecter le virus dans le système informatique via un mail en général ou tout autre moyen d’ingénierie sociale.
Le particulier a tendance à utiliser des antivirus gratuits moins performants, et à négliger la mise à jour de son logiciel ou les protections de base telles que le proxy ou le pare-feu. On constate la transmission du virus par l’introduction d’une manière innocente de clef USB au sein d’un des ordinateurs de l’entreprise.
Aussi, deux types d’attaques sont constatées : les attaques à l’aveugle et les attaques ciblées.
Les attaques opportunistes ou aveugles correspondent aux attaques en volumes sans cible fixe. Leur objectif serait de ramener plusieurs rançons (généralement de faibles quantités).
Les attaques ciblées, quant à elles, visent une cible particulière ayant les moyens de payer une rançon conséquente. Il s’agit en général de personne morale telle que les entreprises, les banques et les organisations.
Le problème du paiement de la rançon
Qu’il s’agisse d’un kidnapping d’un humain ou de données, la question primordiale est de savoir si, finalement, la rançon doit être payée.
C’est une question complexe qui fait débat et dont la réponse diffère selon les cas. Dans le monde physique, les recherches montrent que la solution dépend du type de kidnapping. Par exemple, dans le cas d’un kidnapping terroriste, certains États paient la rançon, alors que d’autres, comme les États-Unis refusent catégoriquement de le faire.
D’autres encore affirment publiquement qu’ils ne céderont pas, mais versent quand même la rançon par l’intermédiaire d’ONG.
Dans le monde des cyberattaques, là encore les recherches montrent des avis divergents sur la question.
Quelles solutions ?
De nombreuses entreprises victimes tentent d’éviter d’évoquer publiquement les affaires de cyberattaque, pour ne pas détériorer leur image et la confiance de leurs clients, fournisseurs et partenaires. Mais depuis quelque temps on observe une évolution.
Les entreprises privilégient davantage la communication et la transparence auprès de leurs clients et partenaires afin justement de ne pas perdre leur confiance tout en tentant d’expliquer comment l’organisation a fait face et a réussi à gérer la situation.
Reste que les principales techniques utilisées par les hackers reposent sur les failles de l’usager et sa méconnaissance des courriers électroniques et des liens malveillants. Il est ainsi préconisé de faire des sauvegardes régulières des données en les conservant dans un espace non connecté à l’infrastructure de l’entreprise afin d’éviter tout chiffrage en cas d’attaques.
Comme le montrent les recherches scientifiques, les meilleures solutions pour lutter contre le kidnapping par ransomware peuvent se résumer en trois points : l’éducation des utilisateurs, une politique de sécurité stricte, et des procédures et stratégies de sauvegarde.
Enfin, il est essentiel de déposer plainte auprès des services de police nationale ou gendarmerie et de s’adresser aux services spécialisés notamment le service cybermalveillance, le portail NoMoreRansom et les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information.