« Alerte générale » criait le commissaire Gibert dans les films Taxi. C’est la situation dans laquelle se trouvent de nombreuses entreprises et groupes internationaux. En cause, les ransomwares (ou rançongiciels) qui paralysent plus ou moins totalement leurs activités pendant une quinzaine de jours en moyenne selon Coveware (une entreprise américaine, spécialisée dans la récupération de rançons).
Une fois installés dans le réseau informatique d’une entreprise, ces codes malveillants chiffrent toutes les données. À partir de ce moment-là, ce sont les pirates qui ont la main : ils exigent que la victime paie une rançon pour récupérer ses données. Une rançon qui devient de plus en plus élevée…
Au cours du deuxième trimestre de cette année, le montant moyen des paiements s’élevait à presque 178 000 dollars, soit plus de 60 % de plus que le montant indiqué par Coveware pour le premier trimestre 2020. Au troisième trimestre de 2019, la moyenne était de 40 000 dollars…
Cette technique d’attaque n’est pas récente. Mais elle a pris de l’ampleur depuis la pandémie. L’explosion du nombre de ces opérations malveillantes s’explique notamment par le fait qu’elles sont « extrêmement rentables ; la rentabilité peut atteindre les 500 % ! Résultat, il y a une aspiration vers cette pratique avec tout un écosystème », explique un expert qui préfère rester anonyme.
Une répartition des cibles
« Certains gangs se sont spécialisés dans les attaques contre les grands groupes, car l’attaque peut rapporter très gros, mais en contrepartie elle nécessite des compétences et plus de temps (quelques mois) pour percer la muraille de l’entreprise. D’autres groupes préfèrent s’attaquer à des entreprises un peu plus petites ; ça rapporte moins, mais plus souvent. D’autres groupes ont monté des plateformes pour vendre leurs services clés en main et prélever 30 % sur les rançons récupérées. Enfin, il y a des groupes spécialisés dans la revente d’accès (pour quelques dizaines de milliers d’euros) aux réseaux informatiques des entreprises », explique Gérôme Billois, Associé cybersécurité et confiance numérique chez Wavestone.
Les entreprises victimes sont de plus en plus nombreuses. Selon le site français LeMagIT, « les cyberdélinquants ont revendiqué près de 700 victimes à travers le monde depuis le début de l’année (dont) plusieurs dizaines de cas en France ». Rien qu’en octobre, il y a eu un peu plus de 200 cyberattaques de ransomware connues à travers le monde… Pour suivre, cette pandémie de ransomware, LeMagIT publie une chronologie (en bas de page) qui présente en temps réel la liste des victimes.
Au cours de l’année 2019, l’Anssi a traité 69 incidents relatifs à des attaques importantes par rançongiciels touchant Altran, Fleury-Michon, Ramsay Générale de Santé ou encore le CHU.
Contrairement à une idée reçue, ce ne sont donc pas nécessairement des petites entreprises qui sont touchées. Mais la mise à disposition par des gangs d’outils de piratage de type RaaS (ransomware-as-a-service) bon marché ou gratuits incite des pirates moins « chevronnés » à se lancer dans ce « business ». Ces attaquants demandent généralement des rançons moins élevées, car ils ciblent les petites entreprises qui n’ont pas les ressources nécessaires pour défendre leurs données de manière adéquate.
La disponibilité de kits RaaS gratuits « a fait tomber la barrière à l’entrée à un niveau extrêmement bas. Une expertise technique approfondie n’est plus nécessaire pour participer à l’économie de la cybercriminalité », note Coveware.
Pour être sûrs de récupérer facilement de l’argent, ces gangs ont mis en place la technique dite de « la double extorsion ». Une méthode très efficace : si les entreprises ne paient pas rapidement, les cyberdélinquants menacent de publier sur le dark web les données sensibles qu’ils ont pu récupérer.
Pas assez de cybersécurité
Il y a donc un terreau très fertile pour les pirates. « Premièrement, on souffre depuis 15-20 ans d’un sous-investissement en cybersécurité. Deuxièmement, la plupart des solutions métier et progiciels sont vendues en n’étant pas assez sécurisées par défaut. Heureusement, la situation s’améliore et la sécurité est de plus en plus prise en compte. Enfin, il y a encore trop d’entreprises qui ne déploient pas rapidement des correctifs de sécurité de Windows ou de leurs logiciels. Ce type d’opération devrait être automatisé pour limiter les risques », insiste Gérôme Billois.
Reste l’épineuse question : faut-il payer la rançon ? Difficile de savoir si les entreprises le font, car elles restent silencieuses sur ce sujet. Néanmoins, selon une étude d’Osterman Research, 58 % des victimes paient la rançon demandée en Grande-Bretagne. Un chiffre qui atteint même 78 % en Allemagne.
Selon un site spécialisé, Garmin aurait payé 10 millions de dollars. La marque n’est pas la seule à céder au chantage. Une enquête de Dark Reading, publiée début 2020, indique que la part des professionnels ayant déclaré avoir payé une rançon à un cyberattaquant a presque quadruplé. Elle est passée à 15 %, contre 4 % seulement en 2018.
« Payer la rançon ne règle pas la crise, car il faudra installer le décrypteur envoyé par le pirate sur toutes les machines et s’assurer ensuite qu’elles sont suffisamment stables et qu’elles fonctionnent correctement. Or ces décrypteurs ne sont pas optimisés et adaptés à tous les systèmes d’exploitation et logiciels », prévient Gérôme Billois.
Dans l'actualité
- Cybersécurité : l’Anssi annonce ses mesures et ambitions au FIC
- Cybersécurité : l’intelligence artificielle n’est pas l’arme fatale !
- Cybersécurité : bonnet d’âne pour les banquiers !
- Cybersécurité : l’Europe la joue « collectif »
- La cybercriminalité est une véritable industrie
- Le ransomware au coeur des cyberattaques 2019
- Vers un nouveau record des cyberattaques ?