Ils se nomment Darkside, Sodinokibi, CryptoLocker ou encore REvil... Leurs noms ne vous disent sûrement rien et pourtant, ces rançongiciels célèbres font trembler les entreprises qui payent parfois plusieurs millions d'euros pour retrouver leurs précieuses données.
Alors que se tient cette semaine le FIC (Forum international de la cybersécurité) à Lille, les acteurs de ce salon poursuivent leur travail de prévention et de conseils pour tenter d'enrayer la cybermenace que représentent les ransomwares. Les représentants du CyberComGend, la nouvelle division de la gendarmerie nationale en charge de la lutte contre la cybercriminalité, ont souligné l'explosion de l'usage des rançongiciels depuis 2016.
Un nombre d'attaques en constante augmentation
Rien qu'entre janvier et août dernier, 346 dossiers liés à des attaques par rançongiciels ont été ouverts, contre 243 pour l'ensemble de l'année 2020, explique le parquet de Paris, qui est désormais en charge des dossiers de ce type sur le plan national. «Les rançongiciels ne représentent aujourd'hui que 0,4 % des cyberattaques constatées en France, mais ils causent plusieurs millions d'euros de dommages au sein des entreprises», explique le major Florent, spécialiste de la question au sein du C3N (Centre de lutte contre les criminalités numériques) de la gendarmerie nationale. D'autant que de nombreuses affaires ne sont pas recensées, puisque certaines entreprises préfèrent payer les rançons demandées sans porter plainte ou faire part de ce fléau auprès des autorités.
«Les victimes sont des grosses entreprises, mais aussi des TPE et PME, des collectivités... Quant aux particuliers, ils représentent 7 % des cas», précise le major du C3N. Et de poursuivre : «Du côté des criminels, nous avons trois profils : d'abord les APT, pour Advanced persistant threat, qui sont des acteurs pouvant dépendre d'Etats comme la Russie ou la Chine, ensuite des groupes criminels organisés, et enfin nous avons des cyberdélinquants qui agissent à plus petite échelle».
Quelques secondes pour paralyser une entreprise
Pour ce spécialiste, les scénarios employés par les cyberattaquants suivent généralement le même schéma. «45 % des attaques par ransomwares passent par des emails piégés avec des pièces jointes ou des liens vérolés. On distingue alors deux types de rancongiciels, l'un va s'employer à chiffrer l'ensemble des fichiers d'un ordinateur et publier une note avec une demande de rançon en échange d'une clé pour déverrouiller le chiffrement, l'autre peut s'attaquer à certains types de sauvegardes souvent vitales. Cela ne prend en général que quelques secondes», détaille le major. Tandis que le paiement passe généralement par les plates-formes de cryptomonnaies, afin de brouiller les pistes.
Le C3N le répète mais il reste déconseillé de payer les rançons. «D'abord parce que cela finance les cybercriminels qui peuvent s'acheter de nouveaux outils pour poursuivre leur business, mais en plus parce que les victimes n'ont aucune garantie de ne pas être piratées à nouveau. Certains criminels opèrent un déchiffrement partiel et peuvent réclamer encore de l'argent», prévient le major. Surtout, lorsqu'une attaque réclame plusieurs millions d'euros de rançon, cela signifie que les attaquants ont déjà pénétré l'infrastructure de l'entreprise depuis plusieurs mois avant d'agir.
Il s'agit d'une délinquance mondiale et les gendarmes ne travaillent pas seulement au niveau national, mais en collaboration avec leurs voisins européens et même extérieurs à l'Europe. Toutefois, cette délinquance reste très difficile à interpeller. «Nous travaillons comme pour une affaire judiciaire classique et nous accompagnons aussi les victimes afin qu'elles prennent de bonnes décisions. Parallèlement, nous collaborons au niveau international pour enrayer ce phénomène et nous avons des perspectives d'interpellations dans les prochains mois», explique la colonelle Fabienne Lopez, qui dirige le C3N. Le problème reste l'organisation de ces criminels qui disparaissent généralement lorsqu'ils sont menacés, pour revenir sous un autre nom et avec de nouveaux logiciels pour reprendre leur activité, souligne-t-on d'une même voix au C3N.