Rançongiciel
Qu’est-ce qu’un rançongiciel ?
Le ransomware, ou rançongiciel en français, est un type de logiciel malveillant qui bloque l’accès aux données d’un ordinateur (voire plus), en principe par chiffrement. Une rançon est exigée en contrepartie du déchiffrement des données prises en otage. Le mobile de ces attaques est généralement pécuniaire et, à la différence d’autres types d’agressions, la victime est généralement informée de l’exploit réalisé et reçoit des instructions à suivre pour récupérer ses données. Le paiement se fait le plus souvent en cryptomonnaie, par exemple en bitcoins, ce qui permet à l’agresseur de protéger (plus ou moins) son identité.
Les rançongiciels peuvent être installés par le biais de pièces jointes à un e-mail ou par du code malveillant infiltré dans des applications, des périphériques de stockage externes ou des sites Web compromis. Mais les attaques avec ransomware les plus dévastatrices impliquent une intrusion en profondeur des attaquants, suivie d’un vol de données avant le déploiement manuel du maliciel de chiffrement et son déclenchement.
Comment se déroule une attaque avec rançongiciel ?
Certaines attaques avec ransomware sont relativement peu sophistiquées. Ce sont probablement les plus fréquentes, d’ailleurs. Là, le logiciel malveillant peut être caché dans un logiciel pirate ou dans une pièce jointe, voire être téléchargé par une pièce jointe malveillante. La compromission peut se limiter au seul poste de travail affecté.
Mais certains ransomwares embarquent des capacités de réplication autonome attribuée aux maliciels de type vers. Historiquement, on peut ainsi citer ZCrypt ou Spora, entre autres exemples. Là, les dégâts sont potentiellement plus étendus. Mais l’attaque reste moins sophistiquée que d’autres.
En outre, les hôtes sous Windows ne sont pas les seuls concernés par ces menaces. Des bases de données exposées sur Internet et mal sécurisées peuvent aussi attirer l’attention de cybermalfaiteurs en mal d’extorsion. Et cela vaut aussi pour les systèmes de stockage en réseau (NAS), comme le Français Otago Production en a fait la malheureuse expérience au printemps 2021.
Cependant les demandes de rançon observées avec ces attaques informatiques ne sont généralement pas bien spectaculaires. Les extravagances concernent les attaques plus sophistiquées.
Pour celles-ci, une fois entrés dans le système d’information, les assaillants explorent l’environnement, jusqu’à atteindre l’architecture Active Directory et obtenir des droits d’administration sur un contrôleur de domaine. Là, ils sont tout simplement maîtres de tout ce qui est rattaché au domaine.
Ce phénomène ne date pas de 2019, mais il y a connu une accélération considérable, avec le développement d’une cybercriminalité financière empruntant beaucoup aux menaces avancées persistantes (Advanced Persistent Threat, APT). Ivan Kwiatkowski, chercheur en sécurité au sein du GReAT (global Research & Analysis Team) de Kaspersky, l’expliquait début 2020 : « traditionnellement, on avait tendance à représenter la topologie des cyberattaques comme une pyramide, avec tout en bas, le bruit de fond, à savoir les scans de ports, les attaques en force brute, etc. Au-dessus, on plaçait la cybercriminalité, et tout en haut, les APT. Une forme de ruissellement était supposée : les chercheurs documentent les techniques, tactiques et procédures (TTP) des APT, et les acteurs de la cyberdélinquance/cybercriminalité s’en inspirent pour peaufiner leurs attaques et devenir graduellement plus performants ».
Confortablement maîtres du domaine, les attaquants peuvent désactiver les outils de protection des hôtes, afin qu’un antivirus ne vienne pas bloquer la « charge utile », à savoir le logiciel de chiffrement des données – le ransomware lui-même. Ils peuvent d’ailleurs s’appuyer sur des outils d’administration tout à fait légitimes pour télédistribuer leur rançongiciel. Et avant de déclencher le chiffrement, ils sont souvent le loisir de voler des données – l’exfiltration se fait fréquemment sur des plateformes de stockage en mode cloud – puis d’endommager les sauvegardes.
Les cybermalfaiteurs pourront alors pratiquer ce que l’on appelle la double extorsion : ils menacent de divulguer publiquement les données volées si leur victime refuse de payer la rançon. Et certaines victimes ne manquent d’ailleurs pas de céder ainsi au chantage, alors même qu’elles sont en mesure de récupérer leurs données à partir de sauvegardes.
Des attaques ont toutefois été observées où aucun ransomware n’avait été utilisé. Certains attaquants peuvent se contenter de dérober des données pour essayer de faire chanter leur victime. D’autres peuvent les chiffrer… mais en utilisant une fonctionnalité native de Windows : BitLocker.
Qu’est-ce que la note de rançon ?
La note de rançon, ou ransom note en anglais, est un fichier non chiffré créé lors de l’exécution du rançongiciel. Elle peut prendre la forme d’un fichier texte ou d’un fichier HTML, notamment. Dans certains cas, cette note peut également être imprimée sur des imprimantes connectées aux serveurs et postes de travail sur lesquels le ransomware a été déclenché. Ce fut notamment le cas lors de la cyberattaque conduite contre l’hôpital André-Mignot du centre hospitalier de Versailles (Yvelines), en décembre 2022.
Contrairement à une idée répandue et à ce que pourrait laisser imaginer son nom, la note de rançon ne comporte pas nécessairement de demande de rançon explicite. Bien souvent, aucun montant n’y est mentionné. En revanche, s’y trouvent des indications sur la manière d’entre en contact avec les cybercriminels. Il est courant que le montant de la rançon demandée ne soit dévoilé qu’après l’établissement des premiers contacts.
Quelles sont les cibles des rançongiciels ?
Aucune organisation, du secteur privé comme public, n’est à l’abri des ransomwares. Pour autant, les cyberdélinquants ne visent pas un secteur d’activité plutôt qu’un autre. Ils attaquent des organisations pour lesquelles ils ont obtenu des « accès » : une porte d’entrée dans le système d’information.
La surreprésentation de certains secteurs d’activité par rapport à d’autres, parmi les victimes, traduit surtout des écarts de maturité en matière de cybersécurité, de préparation, et de moyens techniques et humains. Cela n’empêche pas que les cyberdélinquants puissent se montrer sélectifs quant aux systèmes d’information qu’ils choisissent d’attaquer, ne serait-ce que pour maximiser leurs chances de monétisation de leurs méfaits.
Les cybermalfaiteurs s’attaquent aux organisations de toutes tailles. Cela ne signifie pas que certains ne sont pas spécialisés, à titre individuel, sur certains profils d’organisations plutôt que sur d’autres, du fait de leurs ambitions, de leur expérience et de leurs compétences. Mais globalement, il n’y a pas d’entreprise trop petite pour être intéressante pour les attaquants. Des victimes de toutes tailles ont été observées au cours des années passées.
Les particuliers continuent d’être touchés par des cyberattaques avec ransomware. Particuliers et PME constituent la majorité des victimes. Mais ces attaques ont un impact considérablement plus faible et moins visible. Elles sont dès lors bien moins médiatisées. En outre, elles n’impliquent généralement pas de groupes de cyberdélinquants pratiquant la double-extorsion et menaçant de divulguer des données dérobées lors de l’intrusion. Enfin, les données de cybermalveillance.gouv.fr suggèrent que, soit les attaques contre des particuliers se sont raréfiées, soit ceux-ci demandent rarement de l’aide.
Les cyberattaques avec ransomware sont-elles fréquentes ?
Les chiffres sur les cyberattaques avec ransomware ne manquent pas. De nombreux fournisseurs de solutions et services de sécurité informatique y vont régulièrement de leurs propres sondages. Mais les chiffres obtenus s’avèrent souvent fantaisistes.
Début 2022, Edward Segal, qui se présente comme expert en gestion/communication de crise, consultant, et auteur distingué, reprenait ainsi dans Forbes des chiffres tirés d’une étude réalisée par Pollfish pour Claroty. Et d’écrire : « selon un sondage indépendant mondial de 1 100 professionnels de l’IT et la cybersécurité, les attaques avec ransomware ont touché 80 % des organisations en 2021. Plus de 60 % de ceux qui ont été touchés par les attaques ont payé la rançon ». Reste que l’échantillon considéré ne permettait guère de lancer une telle affirmation : il s’agissait de « professionnels de la sécurité IT » ou de la sécurité « OT », qui travaillent à plein temps pour des entreprises qui « possèdent, exploitent ou supportent des composants d’infrastructure critique ». Pas de quoi généraliser sans discernement.
En France, Les Echos se sont appuyés à la même période sur la dernière édition du baromètre Cesin pour dire que « plus d’une entreprise sur deux aurait subi entre une et trois attaques cyber au cours de l’année 2021 ». Las, du fait de l’échantillon concerné, le baromètre Cesin fournit une photographie de ses adhérents difficilement extrapolable à l’ensemble du tissu économique français.
En 2020, nous avions recensé près de 1 700 attaques avec ransomware à travers le monde. Ce nombre a été dépassé, pour 2021, au mois de juillet. Nous avons compté près de 3 200 cyberattaques avec rançongiciel en 2021, et près de 2 600 entre le 1er janvier et le 31 octobre 2022. Nous estimons que ces chiffres ne représentent pas plus de 10 % de la réalité – hors particuliers.
En France, Jérôme Notin, directeur général du GIP Acyma qui opère le portail Cybermalveillance.gouv.fr, faisait état de 159 collectivités locales touchées en 2020 contre 103 en 2019, et de 837 entreprises contre 667. Soit une progression de l’ordre de 50 % pour les premières, sur un an, et d’environ 30 % pour les secondes.
Au 31 décembre 2021, Cybermalveillance.gouv.fr avait reçu 1 851 demandes d’assistance associations, entreprises, administrations et collectivités confondues. En 2022, au bout de dix mois, ce chiffre était supérieur à 1 330.
Quel est l’impact d’un rançongiciel sur une entreprise ?
Les conséquences de ce type d’attaque sur une entreprise peuvent être dramatiques. En France, Lise Charmel en a fait la douloureuse expérience, mais aussi Camaïeu et Clestra Hauserman. Parmi les répercussions, on peut citer :
- perte de données de l’entreprise ;
- interruptions d’activité du fait d’infrastructures compromises ;
- perte de productivité du fait des interruptions d’activité ;
- pertes d’exploitation ;
- dépenses importantes pour la gestion de la crise et la remédiation ;
- dommages à long terme causés aux données et aux infrastructures de données ;
- atteinte à la réputation d’une entreprise qui était considérée comme sûre, si sa communication de crise n’est pas adéquate ;
- perte de clientèle et, dans le pire des cas, risques pour l’intégrité physique des personnes si l’organisme touché est un service public qui, par exemple, s’occupe de soins de santé.
Entre 2019 et 2020, 8 grands courtiers français couvrant 1 879 organisations assurées contre le risque cyber ont indemnisé 328 sinistres. Le montant des indemnisations versées a atteint 217 millions d’euros en 2020. Dans le lot, quatre sinistres ont pesé pour 130 millions d’euros. En 2021, les montants indemnisés ont reculé à 164 millions d’euros pour 518 sinistres.
À l’automne 2023, MGM Resorts International, opérateur des célèbres casinos MGM, ont accusé une perte d’exploitation de l’environ 110 millions de dollars à la suite d’une cyberattaque ayant considérablement perturbé ses activités.
Contrairement à certaines affirmations non étayées, les entreprises victimes de cyberattaques, même dévastatrices avec ransomware, ne mettent pas systématiquement la clé sous la porte, et encore moins du fait de l’attaque. Leur risque de défaillance progresse toutefois et la cyberattaque peut être le dernier incident conduisant à la faillite une entreprise déjà fortement fragilisée.
Comment se prémunir des ransomwares ?
Voici les conseils d’experts en sécurité pour se protéger des risques de cyberextorsion :
- Effectuez des sauvegardes régulières de vos appareils informatiques.
- Faites l’inventaire de tous vos actifs.
- Maintenez les logiciels à jour, y compris les antivirus.
- Assurez-vous que les utilisateurs ne cliquent pas sur les liens et n’ouvrent pas les pièces jointes dans les e-mails d’origine inconnue.
- N’utilisez pas de clés USB de source inconnue.
- Ne téléchargez qu’à partir de sources de confiance.
- Personnalisez vos paramètres de messages indésirables.
- Surveillez le réseau pour repérer toute activité suspecte.
- Utilisez un réseau segmenté.
- Réglez votre logiciel de sécurité pour qu’il analyse tous les fichiers compressés et archivés.
- Déconnectez-vous d’Internet dès que vous repérez une activité douteuse sur un ordinateur.
Les cyberdélinquants eux-mêmes peuvent parfois fournir des conseils qui s’avèrent cohérents avec ceux des experts en sécurité.
S’il est presque impossible d’interrompre une attaque par rançongiciel, les personnes et les entreprises peuvent prendre des mesures essentielles pour protéger leurs données, minimiser les dégâts et garantir une reprise la plus rapide possible. On peut notamment :
- compartimenter les systèmes et domaines d’authentification ;
- conserver des instantanés de stockage à jour en dehors du pool de stockage primaire ;
- appliquer des règles strictes visant à déterminer qui peut accéder aux données et à quel moment.
Faut-il payer la rançon ?
C’est le mantra de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : ne pas payer la rançon. Dans son guide dédié aux rançongiciels, l’Anssi explique ainsi : « il est recommandé de ne jamais payer la rançon. Son paiement ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, le paiement de la rançon n’empêchera pas votre entité d’être à nouveau la cible de cybercriminels ».
Dans la pratique, les raisons de ne pas céder au chantage ne manquent pas :
- Des outils de déchiffrement peu efficaces. Les cyberdélinquants sont bien plus préoccupés par les performances de leurs ransomwares que par ceux des outils de déchiffrement qu’ils fournissent à leurs victimes après paiement. Ces outils ne sont pas adaptés à des parcs de grande taille et montrent vite leurs limites.
- Des données perdues, ou endommagées, mais pas toujours détruites. Certains attaquants volent des données avant de lancer le chiffrement. Ils promettent de donner accès à ces données après paiement de la rançon et d’en détruire toute copie. Mais il arrive qu’ils perdent eux-mêmes lesdites données. Et rien ne prouve leur destruction après paiement. Dans certains cas, il a même été établi qu’une copie avait été conservée.
- Une solution de déchiffrement existe peut-être. La clé de chiffrement (et donc de déchiffrement) est peut-être encore accessible dans la mémoire vive des machines compromises durant l’attaque. De quoi déchiffrer les données sans payer la rançon, à condition d’être accompagné par les bons experts. En outre, des outils de déchiffrement existent peut-être déjà, sans qu’ils soient connus du public. Cela s’est déjà vu avec les ransomwares Maze, DarkSide ou encore Hive. Une raison de plus de se tourner vers les forces de l’ordre : elles ont généralement accès à ces informations.
La mythologie des rançongiciels veut qu’en payant la rançon, une victime incite les attaquants à revenir. Sur le terrain, des organisations ayant cédé ont effectivement été à nouveau attaquées, mais c’est surtout parce qu’elles n’ont pas procédé au nettoyage en profondeur de leur système d’information qui s’imposait. Et accessoirement, des organisations ayant résisté ont également été attaquées à plusieurs reprises.
Certaines organisations cédant à l’extorsion s’avèrent être véritablement dans une situation désespérée. Du côté de Conti, un modeste concessionnaire automobile de la côte ouest des États-Unis a péniblement réuni près de 163 000 $ en puisant dans ses économies, empruntant à sa banque, raclant les fonds de tiroirs… et sollicitant ses employés. Toujours outre-Atlantique, un spécialiste de l’industrie 4.0 a versé 450 000 $ dans les trois jours, pour « déchiffrer plutôt que reconstruire ».
En fait, il peut y avoir un « côté bénéfique » au paiement des rançons – à compter que ce soit fait en toute transparence avec les autorités. Suivre la trace des paiements en bitcoin n’est pas nécessairement facile, mais c’est loin d’être impossible. C’est ainsi que nous avons pu estimer qu’au moins 25 victimes d’Avaddon avaient cédé au chantage courant mai, rapportant aux cybercriminels près d’un million de dollars.
La Justice française ne manque pas de suivre les flux financiers après paiement des rançons. Ce qui a déjà conduit à des interpellations, y compris à l’étranger, mais également à des saisies au moins partielles de sommes versées par des victimes.
Comment se débarrasser d’un rançongiciel ?
Si rien ne garantit que la victime puisse stopper une attaque par rançongiciel et récupérer ses données, certaines méthodes peuvent néanmoins fonctionner dans certains cas. Avec un bémol : ces méthodes nécessitent de s’être préparé au préalable à faire face à une cyberattaque avec ransomware.
Les sauvegardes jouent un rôle crucial dans ce genre de situation. Atalian, par exemple, a pu compter sur elles pour relancer son activité. Mais tout le monde n’a pas cette chance : les cyberdélinquants les plus compétents n’hésitent pas à s’en prendre aux sauvegardes et à chercher à les détruire.
De manière générale, il convient d’isoler autant que possible les sauvegardes du reste du système d’information, et en particulier de limiter l’adhérence avec le domaine. Car face au ransomware, les sauvegardes doivent être traitées comme un ultime bastion.
Chercheurs et éditeurs cherchent continuellement des failles dans les algorithmes de chiffrement utilisés par les cybercriminels et dans leur mise en œuvre dans leurs rançongiciels. En 2021, Bitdefender avait ainsi divulgué un outil de déchiffrement gratuit pour les victimes du ransomware Darkside. Un an plus tard, des chercheurs avaient trouvé des failles dans le ransomware de Hive. En juillet 2024, un outil de déchiffrement pour le rançongiciel de Hunters International a également été rendu public.
Ces outils ne sont pas toujours connus ni promus publiquement, car les cybercriminels ne manquent pas d’en profiter pour mettre à jour leurs rançongiciels et en corriger les failles. Les forces de l’ordre et les professionnels de la réponse aux incidents de cybersécurité en sont en revanche très généralement informés.
Les opérations de police peuvent également être l’occasion d’obtenir les clés de déchiffrement nécessaires pour se débarrasser d’un rançongiciel. Cela fut le cas de l’opération conduite contre Hive et rendue publique début 2023, ou encore celle menée contre LockBit 3.0 au printemps 2024.
Les rançongiciels ne concernent-ils que les PC ?
Non. Il existe des rançongiciels mobiles qui prennent en otage les données d’une victime sur ses terminaux mobiles, le plus souvent des smartphones. Les rançongiciels mobiles fonctionnent sur le même principe que les autres types de ransomwares, quand un cyberdélinquant bloque l’accès de l’utilisateur aux données stockées sur son appareil, jusqu’à ce qu’il paye une rançon. Une fois le logiciel malveillant téléchargé, un message apparaît qui exige un paiement pour le déblocage de l’appareil. Si la rançon est payée, un code est envoyé pour débloquer l’appareil ou déchiffrer ses données.
Les rançongiciels mobiles se présentent généralement comme une application légitime dans une boutique d’applications tierces. Les pirates imitent souvent des applications connues et attendent qu’un utilisateur trop confiant télécharge leur malware. Les utilisateurs de smartphones peuvent également se faire contaminer en allant sur un site Internet, ou en cliquant sur un lien dans un e-mail ou un SMS.
Quelques conseils pour éviter de se faire prendre au piège du rançongiciel mobile :
- Ne téléchargez pas d’applications dans des boutiques d’applications tierces. Cantonnez-vous à l’App Store d’Apple et au Google Play Store.
- Tenez à jour vos appareils et applications mobiles.
- N’accordez de droits administrateur qu’aux applications dont vous êtes absolument sûr.
- Ne cliquez pas sur les liens dans des e-mails ou des SMS quand vous ne connaissez pas l’expéditeur.
Les utilisateurs d’appareils mobiles ont également intérêt à sauvegarder leurs données sur différents supports pour le cas où ils soient attaqués. Cela leur garantit, au pire, que les données de l’appareil ne seront pas perdues corps et biens.
Brève histoire d’une PME mafieuse du ransomware
De nos jours, les ransomwares sont essentiellement proposés en mode service, suivant un modèle de franchise : les opérateurs de la franchise développent le rançongiciel ainsi que toute l’infrastructure de gestion des négociations, sorte de véritable système de gestion de la relation client (CRM)… mafieuse. Ces franchises ne manquent pas : si certaines disparaissent, d’autres émergent et prennent leur suite. Ce processus n’est parfois qu’illusoire, avec de nouvelles franchises n’étant en fait qu’un rhabillage d’une franchise antérieure. Mais une telle franchise s’est particulièrement distinguée : Conti.
L’histoire de Conti remonte au moins à celle de Ryuk. CrowdStrike a donné le nom de Wizard Spider au groupe opérant la franchise. Mais voilà, « bien que Conti soit considéré comme un variant du modèle de ransomware-as-a-service (RaaS), une variation dans sa structure le différencie du modèle d’affidé habituel. Il est probable que les développeurs de Conti versent aux personnes qui déploient le rançongiciel un salaire plutôt qu’un pourcentage du produit utilisé par les cyberacteurs affiliés, et reçoivent une part du produit d’une attaque réussie ». Un fixe, donc, assorti d’une part variable, selon une note d’information conjointe de la CISA, du FBI et de la NSA, publiée le 22 septembre 2021. De quoi faire de Conti une véritable PME du ransomware.
La franchise Conti a amassé des millions de dollars. Et cela n’a pas empêché l’émergence de tensions, bien au contraire. Celles-ci ont culminé lorsque, le 25 février 2022, la franchise Conti a pris ouvertement position en faveur de la Russie lorsque cette dernière a envahi l’Ukraine.
Dans un message publié sur leur site vitrine, le gang a ainsi annoncé son « soutien complet au gouvernement russe ». Peu après, le message a été légèrement nuancé, le groupe menaçant d’utiliser ses « pleines capacités pour lancer des mesures de rétorsion, dans le cas où les va-t-en-guerre occidentaux tenteraient de toucher des infrastructures critiques en Russie ou dans des pays russophones ».
Une personne très proche du gang a rendu publiques les archives d’échanges privés des membres de Conti depuis début 2020, et même des fichiers datant de 2016, sans compter du code source à profusion ou des captures d’écran des outils du gang, à commencer par son système de contrôle à distance de systèmes compromis, Bazar Loader. Ces données ont confirmé une organisation très structurée, comparable à celle d’une petite entreprise.
La franchise Conti a disparu des écrans quelques mois après ces révélations. Mais elle n’a pas cessé d’exister pour autant. Au printemps 2022, certains membres de la galaxie Conti se sont mis à travailler avec la franchise Hive.
La franchise Karakurt, spécialisée dans l’extorsion simple, sans chiffrement, mais avec vol de données, compte parmi les groupes vers lesquels la franchise Conti a essaimé. Mais il faudrait aussi compter avec Black Basta, et BlackByte. Certains « Contis » seraient aussi à chercher désormais du côté d’Alphv/BlackCat, Hive, AvosLocker ou encore HelloKitty et Quantum. En fait, les trois premiers seraient à voir comme des extensions de Conti, tandis que des partenariats auraient été noués avec les autres.
Quelles sont les cyberattaques les plus marquantes en France ?
Les victimes de ransomware se comptent par milliers, en France, chaque année. En 2022, le niveau de la menace apparaît élevé, mais stable par rapport à 2021 : l’explosion est véritablement survenue fin 2020, à partir du mois de septembre. Mais de premières attaques avaient déjà marqué les esprits en 2019, à commencer par celle du CHU de Rouen.
Vendredi 15 novembre 2019, alors que la journée de travail s’achève, l’alerte est donnée par un simple appel au support informatique. Un interne du service des urgences de l’antenne de Saint-Julien se plaint de ne plus avoir accès à une application métier. Très vite, ce qui paraît n’être qu’un incident d’exploitation va tourner au cauchemar : le CHU est victime d’un pirate informatique en train de disséminer un cryptolocker sur toutes les machines à sa portée. Le RSSI racontera son expérience quelques mois plus tard.
À l’automne 2020, une entreprise de services numériques (ESN) majeure est à son tour confrontée à une telle situation. Le 21 octobre au soir, Sopra Steria reconnaissait publiquement avoir été attaquée par un ransomware. En coulisse, les équipes de l’ESN avaient déjà identifié le coupable, et en informaient leurs partenaires : Ryuk. Mais il faudra attendre le 26 octobre pour que cette information soit publiquement partagée par l’intéressée.
Selon nos informations, le premier contact avec Trickbot remontait au 15 octobre. Mais c’est le 19 octobre au soir que la situation semble prendre un tournant décisif, soit environ 24 h avant que débute le déploiement de Ryuk.
Au début de l’été 2022, l’opérateur mobile virtuel La Poste Mobile a été frappé avec le ransomware LockBit. La rançon initiale aurait été de 1,4 million de dollars, selon la conversation divulguée par l’attaquant. Plus d’un téra-octet de données avait été dérobé.
Quelques mois plus tard, un affilié LockBit marquera à nouveau les esprits en France, avec une cyberattaque menée contre le Centre Hospitalier Sud-Francilien (CHSF).
Les premiers éléments de l’enquête technique ont montré que l’assaillant accédait déjà au système d’information du CHSF de Corbeil-Essonnes, via l’accès VPN, 10 jours avant de déclencher le ransomware. Des sources ont soufflé à la presse généraliste que les assaillants demandaient 10 millions de dollars de rançon et qu’une négociation avait permis de ramener le montant à 1 million. La discussion entre victime et attaquant infirme cette version et suggère que la rançon demandée a toujours été de 1 million de dollars.
Quand sont apparus les premiers rançongiciels ?
La première trace documentée d’un rançongiciel remonte au cheval de Troie AIDS en 1989. Le logiciel AIDS (sida en anglais) a été créé par un biologiste diplômé de Harvard, Joseph Popp, qui a distribué 20 000 disquettes informatiques infectées, intitulées « AIDS Information – Introductory Diskette » (Informations sur le sida – Disquette de présentation), à des chercheurs travaillant sur le syndrome d’immunodéficience acquise, lors de la conférence internationale sur le sida de l’Organisation mondiale de la Santé. En insérant la disquette, les participants ont installé un virus qui a verrouillé leurs fichiers sur le disque dur, rendant leur ordinateur inutilisable. Pour débloquer leurs fichiers, ils devaient envoyer 189 dollars à une boîte postale appartenant à la société PC Cyborg Corp. Les utilisateurs ont finalement réussi à contourner le virus et à déchiffrer les fichiers, car le ransomware était basé sur des outils de cryptographie symétrique faciles à déjouer.
Hormis le virus de Popp en 1989, les rançongiciels sont restés peu fréquents jusqu’au milieu des années 2000, quand les pirates ont commencé à utiliser des outils de chiffrement plus sophistiqués pour détrousser leurs victimes. Ainsi, le rançongiciel Archievus faisait appel au chiffrement asymétrique RSA. Reveton, un virus de 2012, indiquait que le système infecté se rendait coupable d’activités illégales. Il se servait de la webcam de l’utilisateur pour faire semblant de le filmer, usant de méthodes d’intimidation pour extorquer une rançon de 200 dollars.
Les vecteurs d’attaque des rançongiciels se sont aujourd’hui diversifiés pour s’étendre aux applications de l’Internet des objets et des appareils mobiles. Le chiffrement des virus s’est complexifié, notamment grâce à des kits de rançonnement prêts à l’emploi, les RaaS, disponibles sur le Dark Web et mettant en œuvre des chiffrements élaborés par des communautés de développeurs qui collaborent sur ce réseau. Les rançongiciels sont aujourd’hui capables de s’attaquer à de grandes entreprises, une cible plus ambitieuse que les particuliers, mettant en jeu des sommes infiniment plus élevées. L’époque de la menace mineure de Joseph Popp est bien loin, le rançongiciel est aujourd’hui une menace d’envergure.