Dites-nous en plus sur votre projet

Nous vous proposerons une formule adaptée à vos besoins, ainsi qu’une estimation de devis.
Laissez-vous guider

Pourquoi choisir Aneo pour votre projet ?

Aneo est une agence conseil en transformation qui vous accompagne tout au long de la vie de vos projets sur des problématiques de :

Le +  d’Aneo : le conseil sans frontière !

Notre richesse, c’est de vous proposer des équipes pluridisciplinaires, chaque membre avec une approche, une expérience et une sensibilité différente : coach agile, formateur soft skills, Data Scientist designer, Architecte etc. On mise sur la complémentarité des disciplines pour vous apporter la meilleure réponse !

Pourquoi choisir Aneo  pour votre projet ? - Aneo

Aneo, une organisation à part entière !

Depuis 2015, Aneo est une organisation plate à gouvernance plate. Aplatir la hiérarchie, supprimer les silos, instaurer des bonus collectifs, ce nouveau modèle d’organisation avec comme objectif: apporter plus de valeur  à l’entreprise, aux collaborateurs et aux clients.

Le + d’Aneo : l’inattendu !

La sérendipité, c’est « le don de faire par hasard des découvertes fructueuses ». Chez Aneo, nous croyons fermement que les meilleures solutions sont parfois les plus inattendues. Ne rien s’interdire, expérimenter, oser s’entourer de profils atypiques et avoir une obsession : apporter la juste valeur.

Aneo, une organisation à part entière !  - Aneo

Qui êtes-vous ?

Vous êtes pour

Votre secteur

1 seul choix possible
Assurance & Protection sociale
Banque et Finance
Industrie & Services
Santé

Vos besoins

Plusieurs choix possibles
IT & Digital
Transformation des Organisations
Stratégie Business
Pilotage de projets

Détails

Des précisions à ajouter sur votre projet ? (facultatif)
C'est noté !
Nous avons pris en compte les spécificités de votre projet.
Nos équipes vous contacteront sous 48h pour en discuter plus amplement.
Votre prénom *
Votre nom *
Votre adresse email pro *
Votre numéro de téléphone *
Bien reçu !
Nos équipes vous contacteront sous peu
pour discuter de votre projet.

Tech Intelligence #2 – Pourquoi est-il si difficile de lutter contre les ransomwares ?

En 2020, l’Agence Nationale de la Sécurité des Systèmes d’informations Françaises (ANSSI) a recensé 192 incidents « rançongiciel » . C’est quatre fois plus qu’en 2019.

Ces attaques appelées « ransomware » ont pour but de crypter les données d’une entreprise pour ensuite réclamer une rançon sous la menace de publier les informations volées. Cette piraterie mondiale touche tous les pays, toutes sortes d’entreprises ou d’institutions.

Bien que le phénomène soit mondial, l’hexagone figure parmi les pays les plus touchés. Pourquoi ? Selon la magistrate Johanna Brousse qui dirige la section J3 dédié à la lutte contre la cybercriminalité « […] la France est l’un des pays les plus attaqués […] parce que nous payons trop facilement ».

Pourquoi et comment lutter contre les ransomware ?

 

Partie 1 : L’origine du ransomware  

C’est à la fin des années 1980 que les premiers ransomware ont fait leur apparition. Leur but était simple : un malware bloquait l’accès soit au système d’exploitation ou au navigateur jusqu’à ce que l’utilisateur paie une rançon. Le montant était payé via des codes SMS ou des transferts d’argent vers des portefeuilles électroniques. Mais ce type de chantage a vite évolué. En effet, il était trop risqué puisqu’il suffisait de retracer les flux d’argent pour remonter à l’assaillant.

Depuis les temps ont changé, le chiffrement a évolué et le bitcoin est apparu.

En plus de bloquer l’accès au système, les données présentes sont désormais cryptées sur les disques durs. A l’heure où l’exploitation des données est au cœur de l’activité de nombreuses entreprises, celles-ci se retrouvent alors complétement paralysées. En effet, il est maintenant très difficile de décrypter les données chiffrées par des algorithmes de type ChaCha20 ou RSA 2048 bits utilisés dans la majorité des attaques.

Les moyens de paiement ont eux aussi évolué. Les rançons sont aujourd’hui réclamées par transferts de cryptomonnaies, principalement le bitcoin. L’assaillant utilise la technologie de la blockchain pour rendre le traçage du paiement presque impossible et préserver son anonymat.

Les ransomwares ont donc connu de profondes évolutions permises principalement par l’évolution de la technologie. Les offensives sont plus efficaces et plus sécurisées pour leurs instigateurs. Cependant une autre variable permet de comprendre pourquoi les ransomwares se diffusent à grande échelle.

 

Partie 2 : Diffuser les ransomwares à grande échelle, la mission des « cyber gangs »

« Egregor, REvil, Netwalker » ou plus récemment « Darkside », nombreuses sont les organisations cybercriminelles à l’origine de ses attaques.

Ces organisations sont en réalité les créateurs des malwares de cryptages mais aussi leurs relais. Prenons l’exemple d’Emotet, un botnet (large réseau d’ordinateurs contrôlés par un même individu) créé par le groupe Egregor qui vient d’être mis hors services en ce début d’année par une coalition de différents pays dont la France.

Cybergangs : comment fonctionnent ces systèmes ?

Le mode opératoire des organisations cybercriminelles

La première étape consiste à infiltrer le système d’information. L’attaquant envoie un mail frauduleux contenant soit un lien contaminé par Emotet soit une pièce jointe elle aussi infectée. L’assaillant exploite donc une faille humaine. Celle-ci peut être un manque de vigilance, ou l’activation de biais cognitifs. Par exemple, simuler une situation d’urgence pour forcer le lecteur à cliquer sans prendre de recul.

La deuxième étape une fois qu’Emotet est bien installé sur la machine, est de lever les restrictions. L’assaillant va s’octroyer des droits pour se déplacer librement dans le système d’exploitation. Cette levée de restrictions va permettre par la suite d’installer d’autres malwares pour voler et crypter les données. Un des malwares les plus utilisés est Ryuk. Ce dernier a été conçu pour cibler les systèmes Windows et une fois infiltré, il s’auto-propage.

Le fonctionnement du « Ransomware-as-a-service »

Le but de l’organisation Egregor est de contaminer un maximum de machines avec Emotet pour ensuite vendre ces points d’accès à d’autres groupes qui souhaitent y installer un ransomware comme celui décrit au-dessus. On appelle ça du « Ransomware-as-a-service ». Le groupe met à disposition son réseau et sous-traite l’attaque et la demande de rançon. Le but du groupe est de ne pas s’impliquer directement tout en récupérant un pourcentage sur la rançon.

Emotet a été particulièrement virulent car a utilisé plus d’une centaine de serveurs à travers le monde. Il a ainsi pu agir sur de nombreuses zones.

Depuis, ce botnet a été mis quasiment totalement hors service. Les serveurs principaux que le groupe Egregor utilisaient pour Emotet ont été confisqués et certains de ses membres arrêtés.

Face à cette menace prise très aux sérieux par les entreprises et les institutions publiques, il est normal que certaines victimes cèdent au chantage. En France, les services de lutte alertent les entreprises touchées et les incitent à ne pas agir sans réflexion.

 

Partie 3 : Les entreprises françaises cèdent-elles trop facilement ?

La magistrate Johanna Brousse chargée de centraliser les dossiers sur le plan national s’est plainte devant le Sénat que les entreprises françaises cédaient trop facilement aux menaces des ransomwares. Guillaume Poupard, Directeur de l’ANSSI, a par ailleurs repris ces propos. Selon ce dernier, certaines entreprises jouaient « un jeu trouble ». Ce dernier rappelle tout même que pour certaines entreprises, il est préférable de payer la rançon plutôt que de subir des dégâts plus importants. Par exemple, des entreprises à capital ouvert (cotées) préfèrent payer la rançon pour garder l’information confidentielle. Si elle refuse, ses données seront divulguées et cela risque d’envoyer un signal négatif aux investisseurs.

Il est aussi intéressant d’observer que sans une résistance collective, les rançonneurs trouveront toujours des victimes. La vague d’attaques en 2020 a frappé les hôpitaux américains, qui en situation d’urgence provoquée par la pandémie et grâce à leurs capacités financières, ont été largement victimes de ransomwares et pris partis de payer les rançons. Un signal envoyé aux attaquants qui ont répliqué leurs attaques sur les établissements de santé européens ne possédant pas les mêmes ressources. Cependant le commissaire divisionnaire à la BL2C Eric Francelet nous fait remarquer qu’il est aujourd’hui « […] constaté que les auteurs prennent le temps de cartographier l’environnement de la future victime notamment pour chiffrer ses sauvegardes et adapter le montant de la rançon à ses capacités financières supposées ». Cela peut rendre le paiement des rançons plus abordable et donc accentuer le nombre d’attaques.

Quelques assureurs ont saisi l’opportunité et interviennent en tant que négociateur auprès des rançonneurs afin de réduire le montant réclamé. Ce service est par la suite facturé à l’entreprise.

 

Alors comment lutter efficacement contre cette menace ?

En France, 3 agences ont pour rôle d’étudier et prévenir ce type de menace : le C3N, le BL2C et l’OCLCTIC. Leur principale limitation est aujourd’hui leur cloisonnement. En effet le partage d’informations entre ces trois entités n’est pas systématique et ne permet pas à date de cartographier précisément les différentes attaques.

Ce problème de coopération se retrouve aussi entre les services judiciaires et les services de renseignements. Il est aujourd’hui en France impossible pour les deux services de communiquer officiellement entre eux leurs informations, freinant de fait leur capacité d’action.

Enfin, une autre contrainte pèse sur les agences en charge de lutter contre la cybercriminalité : la plupart des ransomwares proviennent de pays étrangers à celui de la victime. Ainsi les autorités qui souhaitent poursuivre les cybercriminels doivent normalement demander l’autorisation du pays « hôte » pour intervenir sur son territoire. La coopération internationale fonctionne parfois. C’est le cas en 2021 où une coalition de 8 pays (Pays-Bas, Allemagne, France, Lituanie, Canada, Etats-Unis, Royaume-Unis et l’Ukraine) a permis l’arrestation de membres liés à Emotet.

 

Conclusion

La coopération internationale a donc permis de mettre un coup d’arrêt aux activités du cyber gang Egregor avec la mise hors service de Emotet, son bras armé. Toutefois, Egregor n’est pas le seul cyber gang à peser sur la sécurité des entreprises et des institutions. Le concurrent REvil, un groupe russe, après avoir divulgué l’identité de son concurrent Egregor, réclame désormais près de 20 millions d’euros à l’entreprise Apple. La menace que représente la cybercriminalité n’épargne aucune entreprise. La lutte contre la cybercriminalité exige la mise en place d’une coopération à l’échelle internationale, d’un accompagnement des entreprises et organisations visées et d’une meilleure coordination entre les agences françaises. Sans cela la lutte ne pourra être réellement efficace.

 

Sources :

Romanian duo arrested for running malware encryption service to bypass antivirus software | Europol (europa.eu)

World’s most dangerous malware EMOTET disrupted through global action | Europol (europa.eu)

De la BEFTI à la Brigade de lutte contre la cybercriminalité de la Préfecture de Police…  – SDBR News –             Le Blog – Security Defense Business Review – Blog

Ransomware : Egregor, la relève cybercriminelle – ZDNet

Ransomwares : les entreprises cèderaient trop facilement | ITespresso.fr

Après une vague d’arrestations, Egregor devra recruter de nouveaux hackers – Cyberguerre (numerama.com)

Russian Foreign Intelligence Service (SVR) Cyber Operations: Trends and Best Practices for Network Defenders | CISA

 

Ça peut aussi vous intéresser
RSE en Conseil d’Administration : où en sont les GAFAM ?

RSE en Conseil d’Administration : où en sont les GAFAM ?

Cet article fait partie de série sur le thème “Entreprises, Numérique et Bien Commun”. Ils sont publiés par une équipe de consultants Aneo. Se préoccuper des parties prenantes est devenu à la mode. En 2019, même la Business Roundtable (l’association des DG des grandes entreprises américaines) …
16 mai 2021
Tech Intelligence #1 – Empreinte environnementale : quelles sont les stratégies des Clouders ?

Tech Intelligence #1 – Empreinte environnementale : quelles sont les stratégies des Clouders ?

La montée en puissance du cloud dans nos économies est aujourd’hui incontestable. On observe une grande diversification des services cloud, un rebond des investissements (6,9% de croissance moyenne par an) qui pourrait atteindre selon International Data Corporation 90,9 milliards de dollars en 2023. Une demande croissante du multi-cloud…
5 mai 2021
Work from anywhere : l’entreprise de demain sera-t-elle distribuée?

Work from anywhere : l’entreprise de demain sera-t-elle distribuée?

Cet article fait partie d’une série d’articles sur le thème “Entreprises, Numérique et Bien Commun”.  « La journée de 9h à 17h est morte » c’est par ces mots que Brent Hyder, président et DRH de SalesForce annonçait…
26 avril 2021
Vous avez un projet de transformation
digitale pour votre entreprise ?