kaptn - Fotolia
RSA Conference 2017 : la menace des ransomwares continue d’évoluer
Le paysage de la menace ne cesse de s’étendre et la lutte apparaît difficile. Au point que l’édition 2017 de la RSA Conference consacre une journée entière de séminaire au sujet.
La menace des rançongiciels n'est pas nouvelle, mais son extension au cours de l’année dernière est telle qu’un séminaire d’une journée lui est consacrée à RSA Conference 2017. Plus d'une dizaine d'experts doivent y participer.
Andrew Hay, RSSI de DataGravity a ouvert les débats en demandant de lever la main à ceux, dans la salle, qui avaient été touchés par un ransonware. Les mains se sont levées en nombre… les mains se sont envolées dans la grande salle. Et Hay de poser deux questions qui hantent probablement tous les esprits : « à quel point le phénomène des rançongiciels est-il sérieux ? Et doit-on payer ? »
Michael Duff, RSSI de l'Université de Stanford, estime que « les ransomwares ne sont rien de plus que des logiciels malveillants monétisés ». Et de souligner que l'argent motive la grande majorité des incidents cyber. Des incidents parmi lesquels les rançongiciels ne seraient finalement pas si graves… : « ça vous saute aux yeux ; vous savez presque immédiatement que vous êtes attaqué ; et vous savez ce que vous devez faire pour récupérer ».
En fait, pour Gal Shpantzer, Pdg de Security Outliers, c’est bien simple : le ransomware raccourcit le cycle de vie de l'attaque, accélérant sa monétisation. C’est une manière de « poser une grenade dans votre réseau local et maintenant vous devez payer ».
Le rançongiciel ? Un vrai business
Lorsqu'on considère la question « morale » – est-ce que les victimes doivent payer ou non –, pratiquement tous les participants de la journée ont exprimé le même sentiment : les victimes devraient faire tout leur possible pour éviter de payer des rançons tout en étant pragmatiques au sujet du paiement pour recouvrer l’accès aux systèmes critiques.
Le Dr Neil Jenkins, du ministère de l’Intérieur américain, le rappelle : « le paiement d'une rançon encourage le modèle économique » et à chaque fois qu'une victime paie, « c'est une bonne chose pour les criminels ».
Pas question de faire la morale à qui que ce soit, pour Shpantzer. D’autant plus que selon lui, si l’idée est de ne payer qu’en dernier recours, les choses ne sont pas toujours aussi tranchées. Si des sauvegardes sont disponibles, il faudra un certain temps pour déterminer si elles sont récupérables. Ce qui peut prendre du temps. Un temps que Shpantzer suggère de mettre à profit pour engager une négociation avec les attaquants : « vous pouvez réellement négocier ; c’est comme un enlèvement ». Surtout, « ça ne coûte rien. Vous pouvez et devriez négocier », notamment pour repousser l’échéance de paiement et faire baisser le montant demandé. Ainsi, si les sauvegardes sont bonnes, pas besoin de payer. Si elles ne sont pas exploitables, il est possible de se retrouver à devoir verser une rançon moindre.
Qui profite aux assurances
Dmitri Alperovitch, directeur technique de CrowdStrike, estime de son côté que la croissance du volume d'attaques par rançongiciels est symptomatique « d’une fusion ayant eu lieu avec le marché des botnets ». Pendant de nombreuses années, les pirates informatiques allaient voir les opérateurs de botnets et les rétribuaient pour la distribution de leur logiciel malveillant. Maintenant, les auteurs de rançongiciels sont en mesure de déployer leurs propres botnets et d'obtenir des gains immédiats.
Jeremiah Grossman, responsable de la stratégie de sécurité chez SentinelOne, estime pour sa part que la montée en puissance des attaques par ransomware favorise le développement parallèle des offres de cyberassurance. Selon lui, des paiements « à sept chiffres » ont déjà eu lieu. « Il y aura des négociateurs de rançons professionnels », une nouvelle description de poste pour les gens qui aideront les cyber-assureurs à gérer les attaques à l’avenir.
Et les assureurs seront bientôt en mesure de dire à chacun ce qu'il faut faire pour éviter les rançongiciels. Ils « auront bientôt les meilleures données au monde » sur les menaces. « Ils ont toutes les données actuarielles », assure Grossman.