Tahiti Infos

Le rançongiciel, le fléau informatique qui ne cesse de gagner de l'ampleur


Paris, France | AFP | mardi 21/07/2020 - L'assureur MMA, le vendeur de billets en ligne MisterFly ou le spécialiste de l'animation commerciale CPM France viennent de s'ajouter à la longue liste des entreprises ou institutions victimes de rançongiciels, un fléau qui ne cesse de prendre de l'ampleur.

Les rançongiciels permettent à des cybercriminels de chiffrer les fichiers de leurs entreprises, réussissant à paralyser tout ou partie de leur activité. Les pirates demandent ensuite une rançon pour déchiffrer les fichiers.

Leurs actions sont moins spectaculaires que les piratages de comptes Twitter de personnalités mondiales rapportés la semaine dernière, mais peuvent coûter jusqu'à des centaines de millions d'euros aux entreprises impactées.

Et elles sont de plus en plus nombreuses, préviennent les spécialistes.  

"Il y a un développement de tout ce qui est rançongiciels en ce moment avec une démarche quasi militaire: ciblage, planification, exécution", expliquait par exemple début juillet Guillaume Poupard, le directeur général de l'Anssi, gardienne de la sécurité informatique française.

"Pour vous donner un exemple, 28 cibles de rançongiciels ont appelé l'Anssi la semaine dernière, ou ont été appelés par l'Anssi", avait-il poursuivi devant un parterre de spécialistes en cybersécurité. "La courbe des cas ressemble à une exponentielle (...) on court après les incendies."

Les tactiques des groupes criminels sont de plus en plus évoluées et de plus en plus "professionnelles", notent les observateurs.

"Les grands cybercriminels fonctionnent aujourd'hui en réseaux", explique Ivan Fontarenski, responsable technique du renseignement sur la menace chez le géant technologique français Thales.

"Améliorer la capacité d'investigation" 

"Ils communiquent entre eux, partagent leurs outils, +challengent+ mutuellement leur mode opératoire, se donnent des conseils avisés et se mettent au défi au travers de campagnes d'attaques toujours plus évoluées", poursuit-il. "Il ne s'agit pas d’une simple logique de coopération mais d’une véritable émulation."

Les attaques aux rançongiciels sont désormais perpétrées par des groupes "très organisés" qui vont souvent passer "1, 2 ou 3 mois à s'insérer dans l'environnement de l'entreprise" avant de frapper, constate de son côté Gérôme Billois, du cabinet Wavestone, qui joue souvent les cyberpompiers pour les entreprises attaquées.

"Ce sont des attaques extrêmement rentables pour les auteurs, avec des rentabilités qui peuvent atteindre 400, voire 800%" par rapport aux moyens engagés, estime-t-il.

Phénomène inquiétant depuis quelques mois, les attaquants se livrent de plus en plus à un chantage à la publication de données, menaçant de vendre ou de publier les données des entreprises touchées, ou de leurs clients. 

Un coup terrible pour la réputation de ces entreprises, dont la responsabilité légale peut de plus être engagée si des failles sont démontrées dans la protection des données personnelles dont elles ont la garde.

Face à cette prolifération, il faut fortifier les défenses des entreprises, mais également "améliorer la capacité d'investigation" des autorités après une attaque et "le traitement judiciaire" des affaires, souligne Gérôme Billois.

Selon Guillaume Poupard, ces efforts existent et commencent à porter leurs fruits. 

"Le point positif, c'est que grâce à des coopérations internationales" efficaces, "on commence à savoir observer les attaquants, on commence à savoir qui ils attaquent avant même que le chiffrement n'ait commencé" chez leurs victimes, avait-il expliqué le 2 juillet. "Quand on les voit bouger, on a 48 heures pour intervenir .. on a eu quelques week-ends particulièrement +intéressants+" où des "cas qui auraient pu tourner au drame" ont pu être évités.

Parmi les groupes criminels les plus cités ces derniers mois se trouvent Maze (alias ATK 161) auteur notamment de l'attaque contre Bouygues Construction en janvier dernier, ATK103 (alias TA505) à l'origine de l'attaque contre le CHU de Rouen, ATK168 (alias Sodinokibi), ATK182 (alias Netwalker).

le Mardi 21 Juillet 2020 à 07:29 | Lu 384 fois