Pourquoi la pandémie de Covid a favorisé une pandémie de ransomwares
Certains experts parlent d’une épidémie de ransomwares (ou rançongiciels) tant les attaques sont devenues courantes ces derniers mois. La friendly hackeuse Keren Elazari revient sur les raisons de ce boom inquiétant.
Colonial Pipeline, Ubisoft, le CHU de Rouen… Toutes ces organisations ont un point commun. Elles ont récemment été victimes d’un même type de virus informatique : le ransomware. Celui-ci s'infiltre dans le système informatique d'une entreprise (grâce à un e-mail d’hameçonnage généralement), puis bloque l’accès à des données clés et demande une rançon en échange de leur déchiffrage. La méthode est loin d’être récente mais elle connaît un essor fulgurant ces derniers mois. À tel point que certains spécialistes parlent d’une épidémie de ransomwares. Keren Elazari, spécialiste en cybersécurité du côté des « gentils » hackers rencontrée pendant l’USI 2021, décrypte le phénomène.
On parle d’une épidémie de ransomwares, pourquoi un tel boom de ce virus en particulier ?
Keren Elazari : C’est principalement une question de business model. Avec le Covid et les confinements, le ransomware est devenu un business model très intéressant pour les cybercriminels. De nombreux salariés travaillent à distance, et les entreprises sont obligées de passer par internet pour livrer leur produit ou service. Ces nouvelles connexions rendent les organisations plus vulnérables. Si un cybercriminel chiffre leurs données, cela aura un impact d'autant plus fort. Pour les hackeurs, le retour sur investissement est énorme : ils n'ont qu'à essayer d'infiltrer quelques entreprises. Il suffit ensuite qu'une seule d'entre elles accepte de payer la rançon pour qu'ils puissent gagner des centaines de milliers de dollars en Bitcoin. Dans certains cas, l’attaque peut se dérouler en quelques heures. C’est par exemple bien plus efficace que de voler des milliers de numéros de cartes de crédit et se dépêcher de les utiliser avant qu’elles ne soient opposées. Par ailleurs, les cybercriminels ont récemment innové. Ils ne menacent plus uniquement de bloquer l’accès aux données, mais aussi de les faire fuiter. C’est encore plus redoutable.
Les groupes cybercriminels tiennent-ils leurs promesses ? Rendent-ils l’accès aux données une fois la rançon payée ?
K.E. : La plupart de ces groupes le font et ils communiquent là-dessus, sur leur réputation. Ce qui m’amène à un autre point important de cette activité : la façon dont les groupes de ransomwares construisent une marque, avec un logo, un service presse... Ils donnent même des garanties en prouvant qu’ils sont capables de débloquer les données avec un fichier test ! Évidemment, il y a quelques exceptions. Notamment des groupes qui font semblant de faire du ransomware, mais dont le but est uniquement de bloquer et détruire les données d’une entreprise. C’était le cas par exemple de NotPetya en 2017.
C’est donc un secteur du cybercrime très industrialisé. Quelle est la taille de cette industrie ?
K.E. : Nous avons quelques chiffres car, ironiquement, les cryptomonnaies qu’utilisent les cybercriminels permettent de tracer certaines transactions. Selon un récent document du FBI, on sait que Ryuk, le groupe qui a attaqué Sopra Steria fin 2020, a gagné plus de 20 millions de dollars grâce à ses diverses attaques. Un autre groupe fait encore mieux. Il s’agit de Maze, récemment rebrandé Egregor. Au total, il a empoché plus de 80 millions de dollars en moins d’un an.
Mais la bonne nouvelle, c’est qu’il y a un effort collectif de la part des autorités nationales, d’Europol et du FBI pour lutter contre ces groupes. Certains diront que ce n’est pas suffisant et surtout que c’est trop tard. Ils auraient dû s’en préoccuper plus tôt. Moi, je suis plutôt optimiste, mais je pense qu’on devrait déjà se préparer au prochain business model qui deviendra populaire auprès des cybercriminels.
D'après vous, quel pourrait être leur futur business model ?
K.E. : Je pense notamment aux vols d’identité sophistiqués à base de deepfakes vidéo et vocaux (des vidéos et fichiers audio truqués) qui reproduirait la voix et l’image d’une personne. Avec cela vous pouvez vraiment faire beaucoup de choses, surtout s’il s’agit d’un cadre ou du patron d’une entreprise. Vous pouvez par exemple demander à des équipes financières de transférer de l’argent sur un autre compte. C’est ce qui s’est passé au Royaume-Uni en 2019. Un salarié a ainsi transféré 250 000 dollars à un hacker en pensant avoir affaire à son patron. Pour le moment c’est assez exotique. Et on ne verra sans doute pas ces attaques tous les jours car c’est sophistiqué, mais je pense qu’elles vont devenir plus courantes. Un autre type d’attaque qui est déjà en train de se populariser est le vol de portefeuilles de cryptomonnaies.
Ce sont les entreprises qui sont généralement visées par les ransomwares. Mais à l'avenir, les individus devraient-ils craindre d’en devenir également la cible ?
K.E. : On peut déjà être victime des ransomwares sans en être nécessairement la cible. Si vous êtes le client d’une entreprise victime d’une attaque, vos données sont potentiellement en jeu. Et certains groupes de hackers se servent de ça, comme Clop, un groupe ukrainien. Récemment, ils s’en sont pris à un site d’e-commerce et ont envoyé un e-mail à chaque client. C’était un e-mail très poli, leur signalant qu’ils étaient en possession de leurs données et que si le site ne payait pas la rançon, ils les partageraient. Donc qu’il serait peut-être préférable que les clients appellent le site et lui demandent de payer la rançon. C’est un moyen de faire pression sur l’entreprise. C’est pour cette même raison que les groupes du cybercrime publient des communiqués de presse, rendent leurs actions visibles, organisent des interviews avec des journalistes… Pour faire monter la pression et obliger les entreprises à payer.
Que pouvons-nous faire pour nous protéger à l’échelle individuelle ?
K.E. : On ne sait pas bien où s’arrête notre république numérique, ni où sont nos données. Donc j’encourage chaque individu à devenir le directeur IT de sa propre identité. L’une des choses que l’on peut faire c’est de ne pas se contenter des mots de passe, en utilisant des tokens d’authentification (des sortes de clé USB qu’il faut insérer pour se connecter à son compte Facebook ou Google par exemple), et les systèmes à double authentification. Selon une récente statistique, seuls 10 % des utilisateurs de Google y ont recours. C’est moins confortable mais il faut le faire en attendant que des systèmes de reconnaissance biométrique (l'analyse du comportement "numérique" d’un utilisateur pour vérifier son identité) permettent de mieux protéger les individus.
