Les rançongiciels sont depuis quelque temps les fléaux numériques des petites et grandes entreprises. Ce type d’attaque informatique se manifeste généralement dans la messagerie des utilisateurs, qu’il s’agisse de profiter de leur naïveté ou d’exploiter des failles de code source.
Dans cet article, vous pourrez découvrir les secteurs les plus touchés par ce type d’attaques, qui ne cessent d’augmenter depuis 2018, accompagnés par quelques chiffres intéressants sur le sujet.
Un rapport du centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques détaillé nous en apprend plus sur l’impact de ces agissements sur les entreprises françaises :
255% d’attaques en plus
Commençons par prendre la mesure de la situation actuelle avec cette augmentation colossale du nombre d’attaques par rançongiciel. En 2019, l’ANSSI enregistrait 54 incidents liés à cette pratique, nombre qui a explosé en 2020 avec 192 incidents rapportés. Il est donc certain qu’en 2021 ce nombre d’attaques augmentent encore beaucoup plus si les entreprises n’allouent aucun budget à la sécurité informatique.
Les types d’attaques les plus utilisées
Voyons maintenant quel type de menaces ressortent parmi les logiciels de rançons, on peut les regrouper en 3 familles :
- Les campagnes non ciblées : ce sont simplement des attaques à grande échelle, elles sont très prisées des rançonneurs, car elles coûtent peu cher et les cibles touchées ont une très faible protection numérique. Elles visent tous les types d’entreprise.
- Les campagnes massives automatiques : pour l’instant, le logiciel malveillant Wannacry auto-répliquant ( ou Wannacrypt ) en est le seul exemple. Bien qu’étant le seul de sa catégorie, il est à l’origine de la plus grande attaque à la rançon d’internet puisqu’il a touché plus de 300 000 ordinateurs dans 150 pays, principalement en Inde, en Russie et aux États-Unis. À l’origine de son succès, une faille appelée “Eternal Blue” présente sur tous les systèmes antérieurs à Windows 10.
- Les attaques ciblées, dites “Big Game Hunting” : elles s’attaquent seulement à des grosses entreprises pouvant payer des sommes conséquentes. Leur mode de fonctionnement est simple : elles infiltrent un réseau furtivement, cible les données sensibles, puis les rendent inaccessibles et menacent ou de les dévoiler ou simplement de les supprimer contre une rançon.
Les collectivités locales dans le viseur
À l’origine de l’augmentation du ciblage des collectivités locales, plusieurs raisons :
- Faible niveau de sécurité général des mairies comparé aux entreprises privées,
- La présence de données personnelles très sensibles,
- La rupture d’activité est très difficile à supporter à cause de l’impact politique et social.
Tous ces facteurs mis bout à bout en font des cibles privilégiées des attaques et les rendant plus à même de payer rapidement la rançon demandée.
À titre d’exemple, les collectivités locales aux États-Unis des villes de Riviera Beach, Lake City, Jackson, LaPorte County et Rockville Centre aux opérateurs du rançongiciel Ryuk ont payé 1.9 million de dollars. Mais ces attaques ne sévissent pas seulement à l’étranger, en effet, le logiciel DoppelPaymer a compromis les mairies françaises de Charlevilles-Mézières et Mitry-Mory en juillet 2020 entre autres.
Le secteur de la santé dans une impasse
Certains opérateurs de rançongiciels, comme Nephilim, ont démontré une éthique minimale en s’engageant à ne pas attaquer de structure de santé ou d’organisation à but non lucratif, d’écoles et d’entités gouvernementales. Cet exemple n’en reste pas moins minoritaire.
Il serait illusoire de s’attendre à une quelconque compassion de la part des hackers en général et pour preuve, ces belles promesses n’ont pas empêché le secteur de faire parler de lui au niveau des cyberattaques. En effet, en 2020 il a été l’un de plus touché, la volonté des rançonneurs exacerbée par le contexte de pandémie de Covid-19 et le caractère vital de la continuité de l’activité en a fait une cible idéale, n’ayant d’autres choix que de payer la rançon rapidement.
Ainsi, durant l’année 2020, les logiciels malveillants Sodinokibi et Netwalker ont attaqué plusieurs hôpitaux espagnols et le centre hospitalier français de Marmande Tonneins.
D’autres rançonneurs tels que ceux utilisant Ryuk ont été responsables de 75% des attaques sur le secteur de la santé aux États-Unis en octobre 2020.
Les entreprises de services numériques (ESN), un impact multiple
Bien qu’elles soient en général difficiles à atteindre du fait de leurs connaissances en cybersécurité, les entreprises de services numériques sont une cible de choix pour les rançongiciels. En effet, étant donné que ces entreprises gèrent le parc informatique et la partie logicielle d’une grande quantité d’entreprises clientes, si les rançonneurs arrivent à infecter l’ESN il y a de bonnes chances qu’ils infiltrent aussi toutes les réseaux qu’ils gèrent par effet de capillarité, selon si un cloisonnement correct a été effectué par l’entreprise ou non. Selon les services proposés par les ESN, l’impact d’une telle attaque peut paralyser l’activité économique d’une zone géographique précise.
À titre d’exemple, l’ESN française XEFI qui propose un service d’infogérance aux PME s’est vue victime du rançongiciel Sodinokibi par le biais d’un outil de supervision, ainsi plus de 200 entreprises ont été touchées dans le centre-est de la France.
Une menace qui se modernise toujours plus
Nous avons vu plus haut que de nouveaux rançongiciels sont créés pour s’adapter à un certain profil de cible, tel que Netwalker, mais ce n’est pas la seule forme “d’amélioration” que les rançonneurs apportent. Au-delà de l’aspect technique de cette pratique, une sphère économique s’est développée autour des rançongiciels et de leur démocratisation. On parle alors de Rançongiciel en tant que service (“Ransomware-as-a-service” ou “Raas” en anglais)
Ce service illégal a été plébiscité en 2020, car il concerne la majorité des signalements faits à l’ANSSI. Il s’agit simplement de louer les services d’un rançongiciel à des développeurs et de disposer d’un suivi techniques, d’un service après-vente, d’un hébergement et même d’une interface sécurisée pour recevoir les paiements avec possibilité de se créer un compte professionnel pour les entreprises d’assurance par exemple, spécialisés dans le paiement et négociation des rançons.
En somme, un service premium à part entière basé sur la prise d’otage de données, accessible à qui a les fonds et le désir soit de nuire, soit de générer facilement de l’argent depuis un pays étranger, ou bien les deux.
