Alliancy

Ransomware : les pistes de la Gendarmerie pour s’attaquer au fond du problème

Le Forum International de la Cybersécurité (FIC) qui devait se tenir en janvier a été reporté début avril. En amont de l’évènement, plusieurs experts de la cybersécurité et de la Gendarmerie se sont réunis pour analyser les évolutions de la cybermenace, notamment autour de la question pressante des ransomwares.

Au-delà des contraintes sanitaires qui ont un impact sur tous les grands évènements français, le Forum International de la Cybersécurité (FIC) annonce un programme séduisant pour son édition 2021, placée sous le thème de la « sécurité collective et collaborative ». Pour illustrer une partie des sujets qui seront traité lors du forum en avril à Lille, ses organisateurs avaient convié lundi 14 décembre plusieurs experts à s’exprimer autour d’une question de fond : « Comment briser la rentabilité des cyberattaques ? »

Le point de départ de l’échange est un constat simple, partagé depuis des années par les forces de l’ordre et les spécialistes du monde cyber : comme pour toute activité criminelle, la plupart des cyberattaques et en particulier les très médiatiques ransomwares, sont motivés par l’appât d’un gain facile. Rendre cette rentabilité moins évidente, individuellement au niveau d’une organisation ou collectivement en tant qu’écosystème, est l’un des moyens les plus efficaces pour réduire la portée et la fréquence des attaques. Car a contrario, il reste toujours extrêmement difficile d’appréhender les auteurs des faits et, plus encore, de les faire condamner en justice, comme le montre la récente affaire Alexander Vinnik.

Des dépôts de plaintes sur les ransomwares toujours plus importants

« Nous avons constaté une augmentation notable, de près de 50%, de la prise de plaintes concernant les faits de rançongiciels, avec 333 plaintes à ce jour, contre 241 l’an dernier » a noté le 14 décembre la colonelle Fabienne Lopez, cheffe du C3N, le centre de lutte contre les criminalités numériques de la Gendarmerie nationale. La plupart des spécialistes confirment une hause de l’intensité des cyberattaques par ransomware ces dernières années, même si pour la Gendarmerie les dépôts plus importants de plaintes sont avant tout le signe « d’une plus grande prise en considération du sujet », à l’image d’autres délits et crimes, comme les violences intrafamiliales, placées sous le feux des projecteurs par l’actualité. « Je pense que la marge entre nos chiffres actuels et la réalité est encore importante. Le ransomware est aussi le sujet sur lequel on a le plus de mal à interpeller les auteurs » souligne d’ailleurs la colonelle.

A lire aussi : [Tribune] Lutter contre la fraude en ligne en 2020

L’augmentation des faits de ransomware est notamment le fruit d’une organisation toujours plus professionnelle des criminels, qui se répartissent différents métiers complémentaires pour gagner en efficacité. « On n’est plus dans le schéma d’une personne seule ou d’un petit groupe qui menaient les attaques de A à Z, de l’intrusion jusqu’à la récupération des données. Aujourd’hui, à chacun à son business : ceux qui font les accès initiaux vont revendre cette capacité à d’autres attaquants, par exemple ceux qui exploitent les ransomware, et d’autres acteurs encore sont juste chargés de la négociation de la rançon avec les victimes… Tous ces acteurs fonctionnent dans un système d’affiliés, organisé autour d’une économie parallèle difficile à contrôler ou empêcher » analyse Félix Aimé, chercheur en cyber sécurité au sein de l’équipe internationale du GreAT de l’éditeur Kaspersky. Il pointe notamment le fait que ces criminels qui se connaissent, qui ont la même culture, et se regroupent pays par pays… organisent de véritables entretiens d’embauches pour évaluer leurs associations et prestataires, et afin d’éviter toute infiltration des forces de l’ordre.

Difficile d’identifier les auteurs de ransomwares

La chaine de valeur des cybercriminels s’est donc complexifié et enrichie. Mais un aspect reste clair : « Avec l’espionnage industriel et la revente de données qui y est associée, ce sont les ransomwares qui sont la principale source de rentabilité aujourd’hui » résume Samuel Dralet, président de Lexfo, un cabinet d’expertise technique en sécurité des systèmes d’information.

Alors comment y mettre un terme, ou en tout cas mieux affronter ces criminels ?  « L’objectif ultime serait d’identifier l’origine de l’attaque, mais c’est généralement un coup de chance. Pour lancer des actions judiciaires, nous essayons de comprendre pourquoi il y a eu l’attaque : l’entreprise était-elle ciblée spécifiquement ? Est-ce le hasard ? La motivation était-elle uniquement celle du gain financier ? Il faut capitaliser sur chaque information pour pouvoir peut-être identifier les auteurs » décrit Samuel Dralet. En effet, l’attribution des attaques est notoirement difficile, du fait de la nature même, internationale et anonyme, d’Internet et des possibilités techniques qui permettent de multiplier les détournements, camouflages et mauvaises directions pour déjouer toute traçabilité.

A lire aussi : Guillaume Poupard (Anssi): « Les victimes de cyberattaques doivent témoigner »

Le chef d’escadron Leoutre, du C3N, précise : « Le problème est toujours qu’à un moment de l’enquête, on se heurte à la non-coopération des autorités de plusieurs pays ». Des Etats notoirement bienveillants vis-à-vis des hackers et criminels, qu’ils emploient parfois. L’ensemble de ces sujets rend d’ailleurs délicat le principe du « hack back », c’est-à-dire de la riposte cyber par les autorités, notamment pour rendre inopérantes des infrastructures comme les serveurs utilisés par les criminels. Si plusieurs pays comme les Etats-Unis semblent de plus en plus friands de la méthode, elle ne fait que retarder le problème, les groupes de criminels réorganisant rapidement leurs capacités. Ce qui explique que cette méthode ne soit pas en tête de la doctrine française. « Cela ne sert à rien de se concentrer sur le hack back, qui est au final un aspect purement technique. Le cybercrime, c’est un écosystème et des ressources. Il faut pouvoir atteindre les humains qui le compose » confirme le chef d’escadron Leoutre.

Remonter la piste de la cryptomonnaie

« D’un point de vue judiciaire, une des solutions privilégiées est de suivre la rançon, payée en cryptomonnaie par les victimes le cas échéant » note la colonelle Fabienne Lopez, tout en reconnaissant : « Cela reste très complexe. Ces sommes sont rapidement divisées en part égales et dispatchées entre individus. On en perd vite la trace, du fait de l’utilisation de mixeurs* ». Malgré les difficultés, les gendarmes considèrent ce traçage comme l’une des pistes les plus porteuses en termes de résultats. Un paradoxe, alors que les autorités encouragent par ailleurs les entreprises victimes à ne pas payer les rançons pour ne pas alimenter le monde criminel et alors que le paiement ne garantit jamais de retrouver l’usage des données chiffrées par le ransomware ? « Il faut être pragmatique par rapport à la situation des entreprises. Le C3N conseille de négocier les rançons quand il y a des risques importants, par exemple d’exposition des données. Payer la rançon n’est évidemment pas satisfaisant mais les négociations en elle-même peuvent apporter des éléments supplémentaires : des échanges avec les pirates, des précisions sur les modes d’attaques ou les éléments techniques » nuance la colonelle.

« En permettant de gagner du temps la négociation peut faire plus que permettre de baisser le montant de la rançon. J’ai un exemple d’un client qui en gagnant une semaine a pu retrouver des sauvegardes qui n’avaient pas été chiffrées par les criminels et donc de faire reprendre l’activité, sans rien payer du tout » abonde Samuel Dralet.

Anticiper les vecteurs d’attaque

En attendant, les entreprises doivent muscler leur défense, car la meilleure solution reste encore de décourager les criminels en rendant trop cher l’investissement qu’ils consacrent à l’attaque par rapport aux possibilités de gains. « D’un point de vue technique, la clé est de bien connaitre son système d’information, sa surface d’attaque et de prioriser les défenses. On sait que les rançongiciels et d’autres attaques passent par le même vecteur : des pièces jointes malveillantes… Tous les jours on voit des cas où des attaquants entrent sur des serveurs grâce à une pièce jointe. Une alerte est donnée par les systèmes, mais cela reste trop souvent traité comme du spam par le RSSI ou le DSI. Il faut être attentif aux détails » recommande le chercheur Félix Aimé. 

A lire aussi : Comment les entreprises peuvent-elles se protéger contre les cyberattaques de type « sans fichier » ?

Il met d’ailleurs en garde : « La grande mode aujourd’hui est devenue l’attaque frontale des réseaux informatiques, grâce aux scans automatiques des systèmes, qui sont disponibles sur Internet. Il n’y a même plus besoin d’avoir une interaction avec un collaborateur de l’entreprise pour cliquer sur une pièce jointe. Il est devenu trivial de passer outre un patch qui n’a pas été fait sur une appliance par exemple ». Reste donc à faire saisir aux entreprises ces nouvelles priorités, et surtout à les faire correspondre à celles de leur Comex. « Depuis deux ans, on voit enfin une prise de conscience qui dépasse les strates techniques, grâce à la médiatisation du sujet » observe le chercheur. Le risque sur la réputation, le cours de la bourse ou l’activité elle-même sont progressivement mieux pris en compte. Mais plus qu’une lutte contre une menace particulière comme les ransomwares, c’est bien la démarche globale de sécurité de l’information et l’augmentation d’une bonne hygiène informatique qui permettra aux entreprises de continuer à encaisser en serrant les dents. Les pirates, eux, trouveront sans doute idées de sources de revenus quand ceux des ransomwares se seront taris.

*des services permettant d’anonymiser les fonds (par exemple de bitcoins) possédés par des personnes, après mise en commun et redistribution

Quitter la version mobile