Cybercrime : le ransomware, risque cyber numéro 1

Auteur

Gérôme Billois

Partner cybersécurité et confiance numérique chez Wavestone

Auteur

Marwan Lahoud

Associé chez Messier & associés (Groupe Mediobanca)

Le ransomware, un logiciel bloquant les systèmes d’information et demandant une rançon, est devenu la menace principale dans le domaine de la cybersécurité. Les attaques par ransomware ont des impacts conséquents sur les organisations, souvent de plusieurs dizaines, voire centaines de millions d’euros. Deux raisons peuvent expliquer le succès de ce mode d’attaque : la forte rentabilité des opérations et la quasi-impunité de leurs auteurs.

Dans le prolongement de la publication de notre rapport, Cybermenace : avis de tempête, nous publions une série d’articles afin de caractériser cette cybermenace. Avec le groupe de travail, nous avons souhaité initier une réflexion sur les actions à mettre en œuvre, avec l’ensemble des acteurs privés et publics, pour réduire la rentabilité, la fréquence et les impacts des attaques. Dans ce premier billet, nous expliquons ce qu’est un ransomware.

Le ransomware, une menace historique récemment sous le feu des projecteurs

Parmi l’ensemble des risques de cybersécurité touchant les entreprises, le ransomware représente la menace la plus régulièrement observée en 2020, et celle aux plus forts impacts sur la production, la réputation et les finances des victimes. C’est pourquoi nous y portons aujourd’hui une attention toute particulière, plus sans doute qu’aux autres types d’attaques - même s’il ne faut pas occulter ces dernières, comme le montrent les récentes découvertes d’espionnage cyber aux États-Unis.

Malgré son apparition à la fin des années 1980, les premières vagues d’attaque massives ont réellement commencé au début des années 2010. L’émergence et la démocratisation des crypto-monnaies ont facilité la tâche des cybercriminels, en particulier pour conserver leur anonymat lors des paiements. Ces attaques ont d’abord visé le grand public, avec des demandes de faibles montants - de l’ordre de quelques centaines de dollars par ordinateur bloqué - sans interaction avec la cible. Puis, elles ont évolué pour s’orienter vers les entreprises, avec une augmentation des rançons.

Pour mener à bien leurs attaques, les cybercriminels suivent généralement les mêmes étapes : d’abord, intrusion dans le système d’information de la victime via des courriels piégés, des failles sur les sites web ou dans les systèmes d’accès à distance ; puis, une fois sur le réseau de la cible, propagation et installation dans l’objectif de prendre le contrôle du système d’information (SI), y voler des données et planifier le blocage complet du système. D’après une étude Wavestone publiée en octobre 2020, il se passe en moyenne 29 jours entre la première intrusion et le déclenchement de l’attaque bloquant le SI.

2019-2020, l’explosion de la menace. En 2021, un coup d’arrêt ?

Depuis fin 2019 et l’émergence du groupe criminel Maze, nous voyons apparaître des attaques ransomware précédées d’un vol de données et d’un chantage pour assurer leur non-divulgation, donnant lieu à des négociations directes entre l’attaquant et la victime. Ce type d’attaque est désormais très commun : dans son rapport d’état de la menace rançongiciel en France en 2020, l’Agence nationale de la sécurité des systèmes d’information (Anssi) pointe une hausse des signalements d’attaque de 255 % par rapport à 2019.

Nous voyons apparaître des attaques ransomware précédées d’un vol de données et d’un chantage pour assurer leur non-divulgation.

Ces attaques ont visé de nombreuses cibles, en particulier des grands groupes, mais aussi des plus petites structures. Bien que seules les attaques sur les collectivités locales ou les hôpitaux aient été médiatisées, d’autres ont touché tous les secteurs, et en grand nombre. Ces attaques ont un caractère majoritairement opportuniste, bien que certaines soient déterminées précisément pour assurer le paiement de la rançon. Les critères de choix des cybercriminels incluent la solvabilité de l’organisation, son actualité opérationnelle ou la fragilité de ses systèmes d’information.

Petit à petit, les gains générés par ces attaques et le sentiment d’impunité causé par la faible capacité des autorités à sanctionner les cybercriminels ont entraîné l’émergence d’un réel écosystème de la cybercriminalité autour du ransomware (nous reviendrons sur les détails de cet écosystème dans le billet suivant).

À noter que, début 2021, des opérations de police ont déstabilisé cet écosystème en démantelant et en arrêtant des groupes établis de longue date, comme Emotet et Netwalker, ou encore en menant des opérations ciblées sur des utilisateurs de ces systèmes d’attaque, comme celles ayant touché Egregor. Ces opérations sont capitales : elles ont eu des conséquences directes (et majeures) sur les groupes concernés, ainsi qu’un effet dissuasif sur les autres. Après le démantèlement de Netwalker, Ziggy et Fonix ont annoncé l’arrêt de leurs activités cybercriminelles. Malgré ce coup d’arrêt très positif, des dizaines de plateformes peuvent les remplacer, et l’effet sur le moyen terme est incertain.

Des cybercriminels toujours plus motivés et inventifs pour faire payer les rançons

Face à la multiplication des attaques, les organisations ont pris des mesures de défense compliquant la tâche des cybercriminels. En particulier, les stratégies de sauvegarde et de reconstruction efficace des SI rendent le blocage des systèmes moins pertinent pour faire payer la rançon. Ceci est particulièrement vrai dans les grandes entreprises, les plus petites restant souvent très vulnérables.

Les cybercriminels adoptent actuellement des stratégies de plus en plus élaborées pour faire payer les entreprises. Le groupe cybercriminel derrière le malware Ragnar Locker a par exemple fait la publicité de son attaque contre Campari via Facebook, à l’aide d’un compte piraté et de contenus sponsorisés. En Finlande, lors d’un vol de données concernant près de 40 000 patients d’une clinique psychiatrique, l’attaquant n’a pas seulement demandé une rançon à l’établissement, mais également individuellement aux patients pour une non-divulgation de leurs informations personnelles, en échange de 200 euros. Encore plus étonnant, selon le FBI, en 2020, certains groupes ont appelé les victimes de ransomware pour les inciter à payer la rançon en les menaçant personnellement.

Au-delà des demandes de rançons de plus en plus insistantes, les moyens utilisés pour pénétrer dans les systèmes d’informations sont aussi de plus en plus sophistiqués. Des hackers ont par exemple essayé de corrompre un employé de Tesla contre 1 million de dollars pour que ce dernier introduise un malware (un logiciel malveillant) dans le réseau informatique de l’entreprise. Grâce aux fonds collectés lors des précédentes attaques, les cybercriminels peuvent augmenter leurs capacités d’attaques et disposer de moyens financiers usuellement à disposition de groupes liés à des États...

Ces derniers exemples illustrent l’importance, pour les cybercriminels, de la rentabilité des attaques. Une des raisons pour lesquelles le ransomware est la vedette des cyberattaques est que, aujourd’hui encore, beaucoup d’organisations payent afin de récupérer la clé de déchiffrement - si elle existe. Cela encourage la cybercriminalité.

Pourtant, il faut noter que le paiement de la rançon ne permet pas de sortir rapidement de la situation de crise. En effet, même si le cybercriminel tient ses promesses et délivre un outil fonctionnel de déchiffrement des données, il sera nécessaire de l’appliquer sur l’ensemble du système d’information, de le sécuriser pour éviter une nouvelle intrusion (du même acteur ou non), et enfin de relancer progressivement tous les services pour s’assurer de leur bon fonctionnement. Concernant les données dérobées, il n’existe aucun moyen permettant de s’assurer de leur effacement réel. Des actions pour prévenir les clients, les entités ou les collaborateurs touchés devront être menées.

Une des raisons pour lesquelles le ransomware est la vedette des cyberattaques est que, aujourd’hui encore, beaucoup d’organisations payent afin de récupérer la clé de déchiffrement.

Les observations de terrain le montrent, les impacts et la durée de la crise sont quasiment identiques pour les structures ayant payé et celles ne l’ayant pas fait. Enfin, le paiement de la rançon expose à de nouveaux risques juridiques, en particulier à la suite des dernières décisions aux États-Unis de rendre certains de ces paiements illégaux.

Une succession de crises pour les entreprises

Au vu de l’activité des groupes cybercriminels et du nombre d'attaques, les pertes liées aux cyberattaques s’accumulent et représentent des risques majeurs pour les organisations, comme les récentes attaques, dont celles sur Altran et de Sopra Steria, le montrent. Ces entreprises ont indiqué avoir perdu respectivement 20 et 50 millions d’euros. Saint-Gobain annonçait également en 2017 des impacts à hauteur de 250 millions d’euros à la suite de l’attaque subie par l’entreprise.

Les organisations touchées subissent une succession d’impacts, comme lors d’un tremblement de terre. Il se passe 3 jours de sidération durant lesquels l’organisation est déboussolée car incapable de travailler et de communiquer sans son système d’information. Suivent 3 semaines de crise intense pour reconstruire le système et durant laquelle l’organisation doit travailler avec des moyens informatiques partiels ; puis, au minimum 3 mois pour solidifier et revenir à l’état initial. Parfois, cette dernière phase peut s’étendre à plusieurs années, en particulier en cas de suites judiciaires si des données à caractère personnel ont été dérobées.

Les coûts engendrés par une crise cyber sont multiples, touchent de nombreuses dimensions et évoluent dans le temps. Les enjeux financiers principaux de la vague initiale sont la perte d’exploitation dû à l’arrêt des systèmes, les frais de gestion de crise (expertise externe, mobilisation spécifique de collaborateurs, matériels, logiciels…), de communication et de gestion commerciale (communication interne ou avec les autorités, les clients, le grand public…).

Les coûts engendrés par une crise cyber sont multiples, touchent de nombreuses dimensions et évoluent dans le temps.

Dans les mois qui suivent, ces coûts de gestion de crise se transforment en coûts de désorganisation, par exemple dus à la perte d’efficacité du fait de systèmes non fonctionnels, de processus internes défaillants, de clients mécontents, puis en coûts de reconstruction et de sécurisation du système d’information.

Dans certains cas, en particulier pour les secteurs régulés ou si des données à caractère personnel ont été touchées, des coûts juridiques importants peuvent apparaître. Récemment, British Airways s’est vu infliger une amende de 20 millions de livres sterling à la suite d’une attaque touchant son site internet. Cette amende, initialement de plusieurs centaines de millions de livres, a été minorée mais confirmée deux ans après l’occurrence de l’incident et a généré une communication très négative.

L’impact d’une attaque sur l’image de l’organisation touchée reste très variable suivant les cas, même si les conséquences internes sont considérables. De manière générale, la posture de l’entreprise durant la gestion de crise est déterminante.

Dans le prochain article de la série, nous nous concentrons sur l’écosystème du ransomware, afin d’identifier les leviers à activer pour briser la rentabilité du cybercrime.

Copyright : DAMIEN MEYER / AFP