La série Tech Intelligence explore des sujets variés de la tech : cloud, cybersécurité, blockchain. Aujourd’hui, découvrez un éclairage sur la lutte contre les ransomwares.
En 2020, l’Agence Nationale de la Sécurité des Systèmes d’informations Françaises (ANSSI) a recensé 192 incidents « rançongiciel » ou ransomwares. C'est quatre fois plus qu’en 2019.
Ces attaques appelées « ransomware » ont pour but de crypter les données d’une entreprise pour ensuite réclamer une rançon sous la menace de publier les informations volées. Cette piraterie mondiale touche tous les pays, toutes sortes d’entreprises ou d’institutions.
Bien que le phénomène soit mondial, l’hexagone figure parmi les pays les plus touchés. Pourquoi ? Selon la magistrate Johanna Brousse qui dirige la section J3 dédié à la lutte contre la cybercriminalité « […] la France est l’un des pays les plus attaqués […] parce que nous payons trop facilement ».
Pourquoi et comment lutter contre les ransomware ?
L’origine des ransomwares
C’est à la fin des années 1980 que les premiers ransomware ont fait leur apparition. Leur but était simple : un malware bloquait l’accès soit au système d’exploitation ou au navigateur jusqu’à ce que l’utilisateur paie une rançon. Le montant était payé via des codes SMS ou des transferts d’argent vers des portefeuilles électroniques. Mais ce type de chantage a vite évolué. En effet, il était trop risqué puisqu’il suffisait de retracer les flux d’argent pour remonter à l’assaillant.
Depuis les temps ont changé, le chiffrement a évolué et le bitcoin est apparu.
En plus de bloquer l’accès au système, les données présentes sont désormais cryptées sur les disques durs. A l’heure où l’exploitation des données est au cœur de l’activité de nombreuses entreprises, celles-ci se retrouvent alors complétement paralysées. En effet, il est maintenant très difficile de décrypter les données chiffrées par des algorithmes de type ChaCha20 ou RSA 2048 bits utilisés dans la majorité des attaques.
Les moyens de paiement ont eux aussi évolué. Les rançons sont aujourd’hui réclamées par transferts de cryptomonnaies, principalement le bitcoin. L’assaillant utilise la technologie de la blockchain pour rendre le traçage du paiement presque impossible et préserver son anonymat.
Les ransomwares ont donc connu de profondes évolutions permises principalement par l’évolution de la technologie. Les offensives sont plus efficaces et plus sécurisées pour leurs instigateurs. Cependant une autre variable permet de comprendre pourquoi les ransomwares se diffusent à grande échelle.
Diffuser les ransomwares à grande échelle, la mission des « cyber gangs »
« Egregor, REvil, Netwalker » ou plus récemment « Darkside », nombreuses sont les organisations cybercriminelles à l’origine de ses attaques.
Ces organisations sont en réalité les créateurs des malwares de cryptages mais aussi leurs relais. Prenons l’exemple d’Emotet, un botnet (large réseau d’ordinateurs contrôlés par un même individu) créé par le groupe Egregor qui vient d’être mis hors services en ce début d’année par une coalition de différents pays dont la France.
Cybergangs : comment fonctionnent ces systèmes ?
Le mode opératoire des organisations cybercriminelles
La première étape consiste à infiltrer le système d’information. L’attaquant envoie un mail frauduleux contenant soit un lien contaminé par Emotet soit une pièce jointe elle aussi infectée. L’assaillant exploite donc une faille humaine. Celle-ci peut être un manque de vigilance, ou l’activation de biais cognitifs. Par exemple, simuler une situation d’urgence pour forcer le lecteur à cliquer sans prendre de recul.
La deuxième étape une fois qu’Emotet est bien installé sur la machine, est de lever les restrictions. L’assaillant va s’octroyer des droits pour se déplacer librement dans le système d’exploitation. Cette levée de restrictions va permettre par la suite d’installer d’autres malwares pour voler et crypter les données. Un des malwares les plus utilisés est Ryuk. Ce dernier a été conçu pour cibler les systèmes Windows et une fois infiltré, il s’auto-propage.
Le fonctionnement du « Ransomware-as-a-service »
Le but de l’organisation Egregor est de contaminer un maximum de machines avec Emotet pour ensuite vendre ces points d’accès à d’autres groupes qui souhaitent y installer un ransomware comme celui décrit au-dessus. On appelle ça du « Ransomware-as-a-service ». Le groupe met à disposition son réseau et sous-traite l’attaque et la demande de rançon. Le but du groupe est de ne pas s’impliquer directement tout en récupérant un pourcentage sur la rançon.
Emotet a été particulièrement virulent car a utilisé plus d’une centaine de serveurs à travers le monde. Il a ainsi pu agir sur de nombreuses zones.
Depuis, ce botnet a été mis quasiment totalement hors service. Les serveurs principaux que le groupe Egregor utilisaient pour Emotet ont été confisqués et certains de ses membres arrêtés.
Face à cette menace prise très aux sérieux par les entreprises et les institutions publiques, il est normal que certaines victimes cèdent au chantage. En France, les services de lutte alertent les entreprises touchées et les incitent à ne pas agir sans réflexion.
Les entreprises françaises cèdent-elles trop facilement aux ransomwares ?
La magistrate Johanna Brousse chargée de centraliser les dossiers sur le plan national s’est plainte devant le Sénat que les entreprises françaises cédaient trop facilement aux menaces des ransomwares. Guillaume Poupard, Directeur de l’ANSSI, a par ailleurs repris ces propos. Selon ce dernier, certaines entreprises jouaient « un jeu trouble ». Ce dernier rappelle tout même que pour certaines entreprises, il est préférable de payer la rançon plutôt que de subir des dégâts plus importants. Par exemple, des entreprises à capital ouvert (cotées) préfèrent payer la rançon pour garder l’information confidentielle. Si elle refuse, ses données seront divulguées et cela risque d’envoyer un signal négatif aux investisseurs.
Il est aussi intéressant d’observer que sans une résistance collective, les rançonneurs trouveront toujours des victimes. La vague d’attaques en 2020 a frappé les hôpitaux américains, qui en situation d’urgence provoquée par la pandémie et grâce à leurs capacités financières, ont été largement victimes de ransomwares et pris partis de payer les rançons. Un signal envoyé aux attaquants qui ont répliqué leurs attaques sur les établissements de santé européens ne possédant pas les mêmes ressources. Cependant le commissaire divisionnaire à la BL2C Eric Francelet nous fait remarquer qu’il est aujourd’hui « […] constaté que les auteurs prennent le temps de cartographier l’environnement de la future victime notamment pour chiffrer ses sauvegardes et adapter le montant de la rançon à ses capacités financières supposées ». Cela peut rendre le paiement des rançons plus abordable et donc accentuer le nombre d’attaques.
Quelques assureurs ont saisi l’opportunité et interviennent en tant que négociateur auprès des rançonneurs afin de réduire le montant réclamé. Ce service est par la suite facturé à l’entreprise.
Comment lutter efficacement contre les ransomwares?
En France, 3 agences ont pour rôle d’étudier et prévenir ce type de menace : le C3N, le BL2C et l’OCLCTIC. Leur principale limitation est aujourd’hui leur cloisonnement. En effet le partage d’informations entre ces trois entités n’est pas systématique et ne permet pas à date de cartographier précisément les différentes attaques.
Ce problème de coopération se retrouve aussi entre les services judiciaires et les services de renseignements. Il est aujourd’hui en France impossible pour les deux services de communiquer officiellement entre eux leurs informations, freinant de fait leur capacité d’action.
Enfin, une autre contrainte pèse sur les agences en charge de lutter contre la cybercriminalité : la plupart des ransomwares proviennent de pays étrangers à celui de la victime. Ainsi les autorités qui souhaitent poursuivre les cybercriminels doivent normalement demander l’autorisation du pays « hôte » pour intervenir sur son territoire. La coopération internationale fonctionne parfois. C’est le cas en 2021 où une coalition de 8 pays (Pays-Bas, Allemagne, France, Lituanie, Canada, Etats-Unis, Royaume-Unis et l’Ukraine) a permis l’arrestation de membres liés à Emotet.
Conclusion
La coopération internationale a donc permis de mettre un coup d’arrêt aux activités du cyber gang Egregor avec la mise hors service de Emotet, son bras armé. Toutefois, Egregor n’est pas le seul cyber gang à peser sur la sécurité des entreprises et des institutions. Le concurrent REvil, un groupe russe, après avoir divulgué l’identité de son concurrent Egregor, réclame désormais près de 20 millions d’euros à l’entreprise Apple. La menace que représente la cybercriminalité n'épargne aucune entreprise. La lutte contre la cybercriminalité exige la mise en place d’une coopération à l’échelle internationale, d’un accompagnement des entreprises et organisations visées et d’une meilleure coordination entre les agences françaises. Sans cela la lutte ne pourra être réellement efficace.
Sources
World’s most dangerous malware EMOTET disrupted through global action | Europol (europa.eu)
Ransomware : Egregor, la relève cybercriminelle - ZDNet
Ransomwares : les entreprises cèderaient trop facilement | ITespresso.fr
