Les cyberattaques dont viennent d’être victimes les hôpitaux de Dax et Villefranche-sur-Saône montrent combien ce type de piratage qui utilise un rançongiciel (ou ransomware) est l’un des faits majeurs de la cybercriminalité. « Les attaques en 2020 sont de plus en plus nombreuses et précises, allant du particulier aux collectivités, en passant par l’ensemble des entreprises », notait le Club de la sécurité de l’information français (Clusif) fin janvier en présentant son Panorama de la Cybercriminalité 2020. « Les collectivités ne sont pas épargnées », commente Sylvain Correia-Prazeres, qui cite l’exemple de la ville de Marseille dont 80 % des serveurs informatiques ont été bloqués par une attaque le 14 mars, à la veille du premier tour des élections municipales. Après cet électrochoc, il y a eu une prise de conscience de plusieurs collectivités, dont une centaine se retrouve désormais au sein d’un nouveau groupe de Responsable de la sécurité des systèmes d’information (RSSI).
Une hausse des signalements de 255 % en 2020 auprès de l’ANSSI
« La tendance à la hausse des attaques par rançongiciel à l’encontre d’organisations publiques et privées, identifiée depuis 2018, s’est à nouveau confirmée en 2020, tant à l’échelle internationale que nationale. En 2020, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) note ainsi une augmentation de 255 % des signalements d’attaque par rançongiciel dans son périmètre par rapport à 2019 », vient d’expliquer l’agence dans son dernier rapport « État de la menace rançongiciel à l’encontre des entreprises et institutions », publié le 1er février. Sachant que le périmètre d’intervention de l’ANSSI se limite à l’État, aux administrations, et aux opérateurs d’importance vitale (OIV), on imagine l’ampleur du phénomène si on y ajoute le secteur privé et celui des particuliers qui sont toutefois moins concernés par les rançongiciels.
Derrière les rançongiciels, des PME du cybercrime
« En matière de victimologie, aucun secteur d’activité ni zone géographique n’est épargné. Cependant, il est observé une hausse des attaques à l’encontre des collectivités locales, du secteur de l’éducation, du secteur de la santé et d’entreprises de services numériques », poursuit l’ANSSI, qui explique que « la rentabilité des attaques par rançongiciel, bien supérieure à leur coût de mise en œuvre, explique la prolifération des groupes d’attaquants et laisse présager une constance, si ce n’est une hausse, de la menace liée aux rançongiciels dans les années à venir. »
De fait on trouve derrière les attaques par raçongiciel non pas un pirate isolé mais de véritables réseaux criminels. « Les plateformes d’attaques se renforcent techniquement avec la constitution d’équipes de développement des codes malveillants, mais aussi fonctionnellement avec les négociateurs pour les rançons et des capacités de management d’équipes », observe le Clusif. À la clé, plusieurs millions de dollars de revenus, voire plusieurs dizaines de millions pour les groupes les plus actifs comme Sodinokibi ou Ryuk, ce dernier étant a priori derrière l’attaque de l’hôpital de Dax. Marine Martin, du Clusif, ajoute que « les gains engendrés par les attaques permettent de structurer des vrais PME du cybercrime, on le voit avec un groupe comme Revil qui a plus de 10 développeurs pour faire vivre et progresser sa plateforme de rançonnage. » La rançon est « gérée » par la plateforme qui reversera entre 10 et 30 % à ses affiliés. «à la fin de la chaîne, le blanchiment est nécessaire pour convertir la monnaie électronique en argents sonnants et trébuchants. Les techniques sont nombreuses et issues des circuits classiques de la grande criminalité», explique le Clusif.
Attaques contre des institutions publiques, attaques aussi bien sûr sur des entreprises privées. « La pandémie Covid-19 a eu un impact considérable sur le paysage de la cybermenace, créant davantage d’opportunités pour les cybercriminels », estime Didier Pichon, vice-président de MTI France. « En mars 2020, lorsque de nombreuses organisations à travers le monde se sont tournées vers le télétravail, des millions de collaborateurs se sont en effet retrouvés à travailler depuis leur domicile. Parfois même sur leurs propres ordinateurs connectés au Wi-Fi personnel, dépourvus de toute protection informatique dont ils bénéficiaient au bureau. Conscients de cette faiblesse, les cybercriminels ont augmenté la variété et le volume de leurs attaques.
Les techniques devenant de plus en plus sophistiquées, la question n’est désormais plus de savoir si une entreprise sera attaquée, mais quand… »
Et maintenant les mobiles piratés…
On n’en a donc pas fini avec les rançongiciels qui pourraient débarquer… sur nos smartphones. « Bien que les ransomwares n’aient jusqu’à présent joué qu’un rôle mineur sur les terminaux mobiles, nous prévoyons que les mobiles joueront un rôle lors de futures attaques de ransomware et autres sur des réseaux d’entreprise et du secteur public », explique Christoph Hebeisen, directeur Security Intelligence Research chez Lookout.