top1position.com
Image default
Tout savoir sur l'informatique

comment protéger les organisations des rançongiciels ?

Notez cet article


Après Rouen en 2019, Dax dans les Landes puis Ville-franche dans la Saône et désormais la ville de Chalon-sur-Saône : ces centres hospitaliers ou leurs collectivités ont été victimes de logiciels malveillants, paralysant leur système informatique.

Entre 2017 et 2020, plusieurs collectivités et entreprises françaises ont été sujettes à des attaques, souvent suivies de demandes de rançon. Le kidnapping de données immobilise parfois des secteurs extrêmement périlleux, comme les hôpitaux, déjà bien affaiblis par la crise sanitaire.

Ailleurs Bouygues, Honda, Stadler rail (une entreprise suisse),

Canon, Sopra Steria et tout récemment Gmail/Hotmail ont aussi subi ce type d’attaques.

Une nouvelle modalité d’extorsion des données semble d’ailleurs émerger. Il s’agit d’une forme d’extorsion numérique plus rapide, sans cryptage de données, mais toujours avec le paiement d’une rançon. Les pays les plus touchés sont notamment le Nigéria, la Colombie, l’Afrique du Sud, la Chine, la Pologne, la Belgique et les Philippines.

D’après une étude récente de Xerfi cette forme de cybercriminalité aurait coûté aux entreprises dans le monde environ 350 milliards d’euros en 2017 et 885 milliards d’euros en 2020.

Le cabinet Accenture évalue d’ailleurs, pour la projection de période 2019-2024, le coût de la cybercriminalité pour les entreprises à l’échelle mondiale à 4 600 milliards d’euros.

Alors comment fonctionne ce type d’attaques ? Et comment s’en prémunir ?

Des modes opératoires proches des kidnappings de personnes

Mes re-cherches sur le kidnapping et l’extorsion mon-trent des modes opératoires assez similaires entre le rançonnage « physique » impliquant directement des personnes et le kidnapping dit « virtuel » ou « immatériel ».

L’instantanéité des échanges d’informations toujours plus rapides et volumineuses dans l’entreprise comme dans la société trouve un écho chez les cybercriminels.

Ces derniers utilisent des logiciels aux noms comme Darkside, Ryuk, Egregor, DoppelPaymer, REvil ou bien encore Avad-don. Ils capturent les données en les cryptant, en échange d’une rançon plutôt sous forme de cryptomonnaie en contrepartie d’une clef de déchiffrement permettant de récupérer les données.

Certaines organisations commerciales ont ainsi dû verser jusqu’à un million de dollars pour une seule attaque, alors que d’autres ont subi des pertes de plusieurs centaines de millions de dol-lars.

Une étude récente montre l’impact éco-nomique des logiciels de rançon sur les entreprises, entre les sommes versées et la perte de revenus liée à l’arrêt de l’activité et de la production.

Depuis 2018, il est estimé que le coût de la cybercriminalité mondiale a atteint plus de 1 000 milliards de dollars. Le record actuel du montant du rançonnage est de 34 millions de dollars. Il est attribué à une entreprise dont l’identité est en-core sous anonymat.

Évolution du ransomware

Les re-cherches montrent que le ransomware a connu une évolution importante et progressive. Nous sommes très rapidement passés des logiciels paralysant les données (locker ransomware) contre ran-çon aux logiciels capturant les données en les cryptant(cryptoransomware) en échange d’une rançon souvent sous forme de cryptomonnaie s’illustrant par le bitcoin.

On observe aujourd’hui une utilisation conjointe du cryptoransomware et du bitcoin, notamment pour le versement d’une rançon, car ce mode de paiement se veut indétectable et permet de faire des transferts d’argent sans passer par une autorité tierce.

Dans le monde réel, le kidnapping contre rançon est tout aussi diversifié.

Il existe le bossnapping, (séquestration de patron) ou la « balade au millionnaire », le kid-napping express, le kidnapping terroriste ou le kidnapping crapu-leux.

Plusieurs cadres de la so-ciété Caterpillar avaient été retenus en avril 2009 contre leur volonté par des employés mobilisés contre un plan social. Ici Nicolas Polutnik sort avec 24h de « détention » dans son bureau.
Jean‑Pierre Clatot/AFP

Le bossnapping est une pratique qui consiste à ne kidnapper que des chefs d’entreprises notamment par des employés en échange du retour d’une cause demandée par une orga-nisation telle que les syndicats. Pensons ici au cas de Fernando Ruzza, directeur général de la filière de la filiale Omnia Network S.P.A. Ce dernier avait été séquestré par ses employés suite à leurs licenciements alors que l’entreprise avait augmenté ses profits.

Le kidnapping express, qui consiste à kidnapper une personne devant un distributeur de billets de banque est par exemple très répandu en Amérique la-tine.

Quelles conséquences pour les auteurs et l’entreprise ?

Le fait d’introduire frauduleusement des données dans un système de traitement automatisé ou de sup-primer ou de modifier frauduleusement les données qu’il contient, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende (art. 121-3 du CP). Ensuite, concernant l’atteinte au système le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de cinq ans d’emprisonnement et de 150 000 € d’amende.

Même si juridiquement l’infraction est bien caractérisée par la législation française (art. 121-3 du CP), on note, selon Europol, une certaine inefficacité à les appliquer. Par exemple, en France un seul mis en cause a été jugé dans une affaire en octobre. S’il a été condamné pour des faits de blanchiment, il a en revanche était relaxé pour les faits liés aux affaires de rançongi-ciel.

Un employé de l’entreprise Renault à l’usine George-Besse à Douai le 15 mai 2017. La production avait été à l’arrêt après une cyberattaque ayant affecté plus de 150 pays.
Philippe Huguen/AFP

Comme le confirme dans le journal Le Monde, Catherine Cham-bon, sous-directrice de la lutte contre la cybercrimina-lité à la Direction centrale de la Police judiciaire (DCPJ), les interpellations pour des faits liés aux rançon-giciels demeurent très rares.

En effet, les rançongiciels ont pris de vitesse les autorités, impuissantes à juguler le phénomène. C’est donc, selon elle, extrêmement compliqué de trouver les auteurs. D’autant plus que contrairement au monde réel, il n’est pas possible de compter sur les informations des services de renseignements con-trairement au terrorisme.

Ce qui donne plus d’envergure au travail effectué par les services d’Europol dans le démantèlement d’Emotet, l’un des plus grands réseaux d’ordinateurs infectés et utilisés par cer-tains rançongiciels pour faire des victimes.

Mais également de l’équipe à l’origine du rançongiciel Egregor interpel-lée récemment en Ukraine par les mêmes services.

Selon les études, il ressort que le risque de défaillance (répercussions et risques d’atteintes à l’entreprise) peut augmenter de 50 % dans les trois mois qui suivent l’annonce de l’incident.

Ce risque peut aller jusqu’à 80 % pour les entreprises françaises. À cela s’ajoute une perte de va-lorisation de 8 à 10 % après l’annonce, sans compter des dommages immatériels liés à la réputa-tion de l’entreprise. Tout ceci s’effectue dans un contexte où la progression des attaques de rançongiciels est de 255 % en 2020.

Le ransomware comme « service commercial »

Le marché noir du ransomware fonctionne « as a service » c’est-à-dire comme une offre de service. Les logiciels ransomware sont fabriqués par des opérateurs qui recrutent ce que le jargon nomme des « affiliés », des opérationnels, qui vont hacker et ensuite partager le magot en pourcentage avec les opérateurs (créateurs du logiciel).

Ce sont ces affiliés qui vont infiltrer le réseau des victimes via le rançongiciel. La rançon qui sera obtenue fera ensuite l’objet d’un partage entre les affiliés et le vendeur du logiciel à des taux variables selon des critères qui peuvent dépendre de l’appartenance au groupe par exemple.

Il est d’ailleurs d’usage que certains affiliés décident de ne pas travailler avec certains opérateurs dans la mesure où il estime que le pourcentage de rétroces-sion est trop important.

Ce processus est à comparer avec le kidnapping contre rançon dans le monde réel, situation que Doro-thée Moisan, journaliste d’investigation décrit dans son ouvrage Le business des otages

Qui sont ces cyber-extorsionnistes ?

Le processus repose par ailleurs sur un triptyque récurrent : crypter les données empêchant leur utilisation par l’usager, obtenir le paiement et décrypter les données.

Les résultats des études menées à l’échelle mondiale au niveau des organisations montrent que dans 73 % des cas, les cybercriminels ont réussi à crypter les don-nées, alors que dans 24 % des cas, l’attaque a échoué, empêchant le cryptage des données. Plus particulièrement en France, on observe que 17 % des attaques ont été stoppées avant que les données ne soient attaquées au sein des organisations.

Concernant la localisation géographique on observe que la plupart des hackers proviennent de pays tels que la Russie et ceux de l’Europe de l’Est comme l’Ukraine dans la mesure où le codage se fait le plus souvent sur les créneaux horaires de ces pays avec des écritures en alphabet cyrillique.

Les failles de l’usager

Les recherches à ce sujet montrent par ailleurs que la plupart des particuliers manquent de rigueur et de connaissances informatiques.

Il s’agit là d’une faille importante, car les hackers se servent de cette négligence pour injecter le virus dans le système informatique via un mail en général ou tout autre moyen d’ingénierie sociale.

Le particulier a tendance à utiliser des antivirus gratuits moins performants, et à négliger la mise à jour de son logiciel ou les protections de base telles que le proxy ou le pare-feu. On constate la transmission du virus par l’introduction d’une manière innocente de clef USB au sein d’un des ordinateurs de l’entreprise.

Aussi, deux types d’attaques sont constatées : les attaques à l’aveugle et les attaques ci-blées.

  • Les attaques opportunistes ou aveugles correspondent aux attaques en volumes sans cible fixe. Leur objectif serait de ramener plusieurs rançons (généralement de faibles quantités).

  • Les attaques ciblées, quant à elles, visent une cible particulière ayant les moyens de payer une rançon conséquente. Il s’agit en général de personne morale telle que les entreprises, les banques et les organi-sations.

Le problème du paiement de la rançon

Qu’il s’agisse d’un kidnapping d’un humain ou de données, la question primordiale est de savoir si, fina-lement, la rançon doit être payée.

C’est une question complexe qui fait débat et dont la réponse diffère selon les cas. Dans le monde phy-sique, les recherches montrent que la solution dépend du type de kidnapping. Par exemple, dans le cas d’un kidnapping terroriste, certains États paient la rançon, alors que d’autres, comme les États-Unis re-fusent catégoriquement de le faire.

D’autres encore affirment publiquement qu’ils ne céderont pas, mais versent quand même la rançon par l’intermédiaire d’ONG.

Dans le monde des cyberattaques, là encore les re-cherches montrent des avis divergents sur la question.

Quelles solutions ?

De nombreuses entreprises victimes tentent d’éviter d’évoquer publiquement les affaires de cyberat-taque, pour ne pas détériorer leur image et la confiance de leurs clients, fournisseurs et partenaires. Mais depuis quelque temps on observe une évolution.

Les entreprises privilégient davantage la communication et la transparence auprès de leurs clients et par-tenaires afin justement de ne pas perdre leur confiance tout en tentant d’expliquer comment l’organisation a fait face et a réussi à gérer la situation.

Reste que les principales techniques utilisées par les hackers reposent sur les failles de l’usager et sa méconnaissance des courriers électroniques et des liens malveil-lants. Il est ainsi préconisé de faire des sauvegardes régulières des données en les conservant dans un espace non connecté à l’infrastructure de l’entreprise afin d’éviter tout chiffrage en cas d’attaques.

Comme le montrent les recherches scienti-fiques, les meilleures solutions pour lutter contre le kidnapping par ransomware peuvent se résumer en trois points : l’éducation des utilisateurs, une politique de sécurité stricte, et des procédures et stratégies de sauvegarde.

Enfin, il est essentiel de déposer plainte auprès des services de police nationale ou gendarmerie et de s’adresser aux services spécialisés notamment le service cybermalveillance, le portail NoMoreRansom et les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information.



Fabrice Lollia, Docteur en sciences de l’information et de la communication, chercheur associé laboratoire DICEN Ile de France, Université Gustave Eiffel

Cet article est republié à partir de The Conversation sous licence Creative Commons.

https://theconversation.com/cyberattaques-et-kidnapping-des-donnees-comment-proteger-les-organisations-des-rancongiciels-155384

Autres articles

D’un laboratoire universitaire à 40 millions d’utilisateurs, l’aventure d’un logiciel libre

adrien

Comment le jeu d’échecs a inspiré un pionnier de l’intelligence artificielle

adrien

La technologie OLED pour les écrans de demain

adrien

Comment faire face aux dégâts du stress lié à la technologie dans une entreprise ?

adrien

Vers une simulation de l’Univers sur un téléphone portable

adrien

Une intelligence artificielle pour mieux analyser les appels au SAMU

adrien