L’Office fédéral de la sécurité des informations (BSI) publie un rapport de situation sur la sécurité informatique en Allemagne. Le ransomware y apparaît plus d’une fois. Il est temps de faire le point sur l’application la plus impopulaire de Bitcoin. Le malware extorqueur menace-t-il la légitimité des crypto-monnaies ?
Récemment, l’Office fédéral de la sécurité de l’information (BSI) a publié le rapport de situation sur la sécurité informatique en Allemagne 2021.
Le rapport décrit sur 100 pages la « situation de la sécurité informatique en Allemagne », en mettant l’accent sur « les attaques contre les entreprises, les institutions publiques et privées ». Le mot « ransomware » apparaît 79 fois sur ces 100 pages. Cela indique la grande importance de ce « logiciel de chantage » parmi les sources de danger du cyberespace.
Les rançongiciels ne sont pas vraiment un phénomène nouveau. « Les logiciels malveillants qui restreignent l’accès aux données ou aux systèmes, par exemple au moyen du chiffrement, afin que l’attaquant puisse ensuite extorquer une rançon » existaient déjà avant le bitcoin. Mais ce n’est que depuis qu’il est devenu habituel d’exiger des paiements en bitcoins, vers 2013, que le « modèle économique du ransomware » est devenu LA success story de la cybercriminalité internationale – et ce, sans interruption pendant environ huit ans.
Pourquoi Bitcoin ? Pourquoi la crypto-monnaie est-elle devenue une étape importante pour les ransomwares ?
Les bitcoins ne sont pas anonymes. Les pièces numériques sont très transparentes. Comme un escargot qui laisse sa trace visqueuse, chaque transaction laisse une trace très claire sur la blockchain. Des experts comme l’ancien général de la CIA … affirment donc que le bitcoin est le pire moyen de paiement imaginable pour les criminels.
Cependant, les bitcoins sont très utiles pour une chose : Pour recevoir de l’argent de manière anonyme. N’importe qui peut générer une adresse pour recevoir de l’argent. Pour cela, vous n’avez pas besoin d’une pièce d’identité, d’un compte bancaire, d’un numéro de téléphone, ni même d’une adresse électronique. De plus, les bitcoins dont vous possédez la clé privée ne peuvent être gelés, et les transactions entrantes ne peuvent être censurées. Grâce à ces propriétés, le bitcoin a favorisé l’apparition des ransomwares, qui sont devenus par la suite une « killer app » du bitcoin dont les acteurs préfèrent ne pas parler.
À proprement parler, les ransomwares représentent une menace décente pour le bitcoin. Aux États-Unis, on a tendance à classer les extorsions à grande échelle, par exemple contre un cabinet d’avocats réputé, dans la catégorie du cyberterrorisme. Les rançongiciels pourraient devenir la raison – ou le prétexte – pour laquelle les crypto-monnaies sont (encore) plus strictement réglementées et peut-être même interdites.
Tous les arrêts pour les rackets de protection de la mafia
Le rapport du BSI montre comment la situation autour des ransomwares a continué à se développer en Allemagne entre juin 2020 et mai 2021. Il est excellent pour obtenir un aperçu de ce « commerce » émergent – et des dommages qu’il cause.
Certaines tendances vous sautent littéralement aux yeux. Par exemple, le secteur est mis au défi par un changement de mentalité chez les victimes. De plus en plus souvent, les victimes sont plus détendues face à l’attaque grâce à une sauvegarde ou suivent les recommandations des autorités de ne pas payer l’argent de la protection.
Les pirates réagissent à cette situation par deux tactiques : D’une part, ils ne se contentent pas de crypter les données, mais les volent également. De cette façon, ils peuvent améliorer leur position face à la menace de fuites de données. En outre, ils menacent également d’attaques DDoS pour amener la victime à payer la rançon. Par exemple, selon le BSI, « si une société de vente par correspondance en ligne était contrainte de passer à une présence sur le web moins résistante aux attaques DDoS en raison d’une attaque par ransomware, cette attaque DDoS rendrait encore plus difficile de faire face à l’attaque par ransomware. »
Cela rapproche donc les ransomwares des rackets de protection multidisciplinaires de type mafieux. N’importe quel moyen fera l’affaire si ça fait monter la pression.
Le ransomware comme finale de la chasse au gros gibier
La deuxième tendance en matière de ransomware est une professionnalisation interne. D’autres rapports ont déjà abordé ce sujet, comme la division du travail entre les développeurs de logiciels, les distributeurs et les blanchisseurs d’argent.
La BSI ajoute à cela la nature multi-stades des attaques. Au lieu de traîner les logiciels malveillants dans l’océan des systèmes informatiques comme un filet de pêche, les pirates s’orientent de plus en plus vers des « attaques d’espionnage APT ». Il s’agit d’attaques élaborées, complexes, professionnelles et ciblées – fabriquées à la main, pour ainsi dire – contre des agences gouvernementales et des entreprises. Ils se concentrent sur une cible, élaborent des vulnérabilités, parfois pendant des mois, puis les exploitent avec tous les moyens à leur disposition. Ces attaques sont soupçonnées d’être financées ou encouragées par les habituels États voyous : La Chine, la Russie, l’Iran et la Corée du Nord.
Dans le cas d’un ransomware, par exemple, voici comment cela fonctionne : Tout d’abord, le cheval de Troie Emotet se niche dans Outlook. Il y analyse le trafic de messagerie de la victime afin de mener des « attaques d’ingénierie sociale d’apparence particulièrement authentique sur les contacts de la victime ». Emotet ouvre ensuite le téléchargement pour que les pirates puissent installer le logiciel malveillant d’espionnage Trickbot. Cette opération permet de scanner l’ensemble du système et, si possible, le réseau. Ce n’est qu’à la dernière étape – et seulement si cela en vaut la peine – que les pirates téléchargent le ransomware Ryuk. Les données sont alors cryptées.
Le ransomware devient ainsi le point final d’une prise de contrôle des systèmes informatiques longuement orchestrée.
Les pirates ciblent de plus en plus des victimes financièrement solides. Le BSI appelle cela « la chasse au gros gibier ». Cette tendance existe depuis un certain temps et se manifeste par des victimes de plus en plus connues et importantes, des supermarchés suédois aux fournisseurs d’énergie italiens.
Une nouvelle victime publique chaque semaine
Les dommages causés par les ransomwares sont difficiles à estimer. Mais il devient évident qu’elles doivent être énormes.
Selon le président de la BSI, Arne Schönbohm, l’informatique d’au moins une administration municipale ou une autorité de district allemande est paralysée par un ransomware chaque semaine. Lorsque les choses vont mal dans l’administration allemande, cela peut de plus en plus souvent être dû à un ransomware.
Le BSI ne divulgue pas le montant que les entreprises et institutions allemandes paient chaque année pour les ransomwares. S’il connaît cette information. Mais le fait est que la rançon n’est qu’une partie des dommages causés par un ransomware – et probablement même pas la plus importante.
« Il faut généralement 23 jours en moyenne entre la découverte d’une infection et le nettoyage des systèmes et leur remise en état de marche complète […] Cet impact immédiat est généralement suivi des coûts de suivi engagés pour faire face à l’attaque. »
En moyenne, il faut donc trois bonnes semaines pour que les systèmes soient à nouveau totalement intacts. Dans le cas d’une boutique en ligne, par exemple, cela peut être très coûteux. S’il y a également un préjudice de réputation dû à la publication de données, « les dommages causés par une attaque de ransomware peuvent menacer l’existence d’une organisation affectée », explique le BSI.
Mais ce n’est pas seulement le traitement d’une attaque qui dévore les ressources, mais aussi sa prévention. Le BSI recommande des mesures étendues : Les entreprises devraient maintenir une sauvegarde, à savoir une sauvegarde complètement hors ligne et dont on vérifie régulièrement la possibilité de la reconstituer. Les transferts de données sur le réseau doivent également être surveillés de près afin de prévenir le vol de données ou de le détecter à un stade précoce. Les vulnérabilités, telles que les connexions au monde extérieur, doivent être réduites au minimum, les systèmes d’exploitation et les programmes doivent être mis à jour régulièrement et rapidement, et les réseaux doivent être segmentés en interne. Les employés doivent être formés « de manière complète et continue », l’accès aux niveaux d’administration doit être limité de manière cohérente.
De telles mesures sont certainement judicieuses. Ils ne peuvent pas empêcher complètement les attaques, mais ils peuvent les rendre beaucoup moins probables. Mais ils sont chers. Ils nécessitent une maintenance quasi permanente des systèmes informatiques, exigent le temps de tous les employés et ralentissent les processus, par exemple lorsque les transferts de données sont bloqués. Ils mettent des bâtons dans les roues.
Vu sous cet angle, les rançongiciels ne sont pas seulement en train de devenir un modèle commercial lucratif dans la cybercriminalité à faible risque – mais aussi un sabotage global de l’économie et de l’État. La question de savoir s’ils ont déjà un impact sur la croissance ou l’absence de croissance de l’économie mondiale est toutefois assez spéculative.
Une menace pour la démocratie?
De plus en plus, le BSI s’inquiète du fait que les ransomwares et autres logiciels malveillants ne s’attaquent pas seulement aux entreprises, mais menacent également la sécurité publique. Les signes sont déjà là :
« Une nouvelle situation de menace est apparue l’année dernière en raison d’incidents au cours desquels des cybercriminels ou des acteurs étatiques ont spécifiquement attaqué des entreprises et des autorités du secteur de la santé. Contrairement au début de la pandémie, la BSI a observé des attaques informatiques ciblées liées à COVID-19 sur des domaines clés du secteur de la santé au cours de la période de rapport actuelle. Il s’agit, par exemple, de l’attaque contre l’Agence européenne des médicaments (EMA), d’attaques contre des fabricants de vaccins étrangers, d’une attaque DDoS contre le portail de vaccination COVID-19 de l’État allemand de Thuringe et d’une attaque par ransomware contre un fabricant allemand de tests antigéniques COVID-19. »
L’attaque d’un hôpital universitaire de Rhénanie-du-Nord-Westphalie, qui a subi des pannes de système temporaires en raison d’un ransomware et n’a pas pu admettre de nouveaux patients en soins intensifs pendant 13 jours, est également un cas notable. L’hôpital en question pourrait être celui de Düsseldorf. L’aéroport de Sarrebruck a également été touché, ses systèmes informatiques ayant été mis hors service pendant un certain temps à la suite d’une attaque survenue il y a près d’un an.
Le BSI estime que le ransomware pourrait également constituer une menace pour la démocratie s’il s’attaque à l’environnement électoral. Par exemple, « une attaque par ransomware contre l’administration d’une ville ou d’un comté pourrait entraîner des retards dans le déroulement ou le dépouillement de l’élection si, par exemple, les communications par courriel sont indisponibles en raison de l’attaque. » Cela pourrait nuire à la confiance dans les processus électoraux, s’inscrire dans le cadre d’une opération de truquage et rendre difficile, voire impossible, la mise en œuvre de systèmes de vote électronique.
