Devenus un sujet pour média grand public, les ransomwares (ou rançongiciels) semblent semer la terreur auprès de toutes les couches de la société, aidées par des témoignages très médiatisés de « pseudo experts » en hacking. Mais la vérité se situe bien souvent... ailleurs.
Avec les ransomwares, la vérité est plus nuancée que les phrases à l'emporte-pièce du type « il faut payer » (ce qu'il ne faut pas faire), « les hackers sont les rois » (ce qui n'est pas tout à fait exact) et « les antivirus ne valent rien » (cela dépend desquels et surtout des équipes plus ou moins expérimentées des offreurs qui connaissent les vulnérabilités et leurs corrections).
Le paysage des cybermenaces a beaucoup évolué, ce qui nous amène à parler non plus uniquement de virus, mais de familles de malwares, de codes malveillants et de procédures qui aboutissent à une opération de ransomwares. Par exemple, pour mener à bien une opération ransomwares, il faut tenir compte de la part des cybercriminels de différentes étapes depuis l'injection du code. Il leur faut également agir sur les commandes de contrôle (C&C) puis définir un mode de récupération de l'argent et enfin fournir éventuellement les clés de déchiffrement en fin de négociation. Une certitude : les cyberattaquants doivent maîtriser l’ensemble des étapes sinon l'opération échoue. C'est la théorie de l'alignement des dominos.
Rappelons quelques chiffres : l'ensemble des opérations connues en matière de ransomwares a présenté au total une facture estimée à environ 1 milliard de dollars en 2016. Selon différents cabinets d'étude, cette estimation devrait atteindre 2 milliards de dollars en 2017. N'importe quel cybercriminel de premier niveau peut télécharger les outils nécessaires à une opération de « Ransomware-as-a-Service ». Des kits prêts à l'emploi sont d’ailleurs vendus entre 10 000 et 20 000 dollars sur le dark net !
Si la cybermenace du côté des demandes de rançon via Internet est réelle avec 4 000 attaques chaque jour pouvant toucher de 30 000 à 50 000 dispositifs par mois, l'essentiel est ailleurs. Et comme souvent en cybersécurité, cela est rarement évoqué. Au-delà des sommes réglées ou pas, c'est la cessation totale ou partielle des services dépendants des machines attaquées qui pose problème. Qu'il s'agisse des serveurs d'une PME ou de l'armoire électrique d'un grand transporteur ferroviaire, l'impact d'une interruption de service se mesure aux conséquences de l’indisponibilité qui résulte d'une cyberattaque. Ainsi, 63% des entreprises victimes de ransomwares en 2016 disent avoir subi des conséquences stratégiques (indisponibilité, pertes de clientèle, image écornée...)
Les conséquences peuvent être plus graves lorsque les opérations de rançon prennent en otage un hôpital comme ce fut le cas pour Hollywood Presbyterian Medical Center aux États-Unis[1] : les indisponibilités peuvent être une question de vie ou de mort. 3,5% des organisations ayant subi une attaque de type ransomware en 2017 indiquent que des vies ont été mises en péril. Ainsi, non seulement il ne faut pas encourager ce type d'actions, mais il faut les prévenir. Autrement dit, les entreprises doivent réaliser des sauvegardes quotidiennes, protéger davantage les machines et les données stratégiques, et ne jamais céder devant un cyberchantage. Des services préventifs tels que la Threat Intelligence aident les entreprises de toutes tailles face à ce type de cybermenaces.
Bon nombre de solutions de filtrage et de protection permettent (n'en déplaise à certains médias) de détecter avec efficacité certaines opérations de cyberdélinquance en préparation via les comportements anormaux de certaines zones de l'Internet underground, via des transactions douteuses sur certains outils nécessaires aux cybercriminels, via certains codes connus des experts dans les laboratoires de grands éditeurs... En outre, le contraire de l'amateurisme de certains antivirus gratuits par exemple.
Benoît GRUNEMWALD
Directeur des Opérations - ESET France
À PROPOS D'ESET
Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine et classé 5ème éditeur mondial dans le dernier rapport du Gartner Group. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. ESET Nod32, ESET Smart Security et ESET Cybersecurity pour Mac sont reconnus et appréciés par des millions d’utilisateurs dans le monde. ESET a déjà reçu plusieurs distinctions en Allemagne notamment. Fin 2015, ESET Endpoint Security a été choisi par les lecteurs de Vogel IT Media comme le meilleur antivirus sur le marché allemand. De nombreuses autres récompenses ont distingué les solutions ESET : ESET Mobile avec Stiftung Warentest en février 2016, Prix CRN…
[1] Le Hollywood Presbyterian Medical Center a été victime d'une attaque de type ransomware en février 2016. L'hôpital s'est ainsi vu réclamer un virement exorbitant de 3,4 millions de dollars en bitcoins (soit à peu près 9 000 bitcoins). Il a finalement payé 17 000 dollars, une rançon d'un montant plus habituel dans ce genre d'affaires.