Les villes mal protégées sont dévastées par des arrêts d’activité dus au cyber-chantage ; les entreprises qui dépendent de fournisseurs de services gérés (MSP) risquent d’être les prochaines grandes cibles.
« Il n’y que l’ARGENT qui compte ! Dépêchez-vous ! Tic tac, tic tac, tic tac ! »
Ceci est un extrait d’une note de rançon effrayante que des responsables informatiques de Baltimore ont reçue en mai. Elle provient des hackers qui ont réussi à bloquer la plupart des serveurs de la ville et qui réclament 76 000 dollars (environ 68 000 euros), à payer en bitcoin, pour la clé de déchiffrement. La ville de Baltimore a refusé de payer cette rançon, se résignant à absorber environ 18 millions de dollars (environ 16 millions d'euros) de frais de recouvrement.
Quinze mois plus tôt, en mars 2018, la ville d’Atlanta avait été frappée de façon similaire et avait également refusé de payer une rançon de 51 000 dollars (environ 46 000 euros), malgré les 17 millions de dollars (environ 15 millions d'euros) de dommages que cela impliquait.
Aussi impressionnantes que soient ces deux attaques très médiatisées, elles ne montrent pourtant pas l’ampleur de ce qu’est devenu le phénomène omniprésent et destructeur des ransomwares pour les particuliers, les entreprises de toutes tailles et, plus récemment, les agences locales mal protégées.
Analyser et piller
Le ransomware est très résistant et flexible. Pour les criminels, son principal attrait réside dans le fait qu’il s’agit d’un canal direct vers l’argent recueilli de façon illicite. C'est le rêve de tout escroc, un minimum d’intermédiaires.
D'un point de vue général, le ransomware est une plateforme ouverte qui fonctionne selon les principes du marché autour duquel s'est développé un écosystème florissant de fournisseurs et de spécialistes. Cela permet à des fournisseurs novices, aux modestes compétences techniques, d’entrer sur le terrain grâce à l’accès facile et abordable aux puissants outils et services clés en main. Pendant ce temps, les collectifs de piratage avancés investissent dans l’innovation et vont de l’avant. D'un côté, se poursuivent donc les techniques d’attaques de ransomware éprouvées alors que de l’autre, on cherche des cibles vulnérables à piller de façon innovante.
Selon le FBI, dans l’absolu, le nombre de ransomwares a légèrement diminué en 2018. Mais cela est dû au fait que les ransomwares s’attaquent moins aux particuliers et se concentrent davantage sur les entreprises et les gouvernements. Et comme en attestent les attaques contre Baltimore et Atlanta, les municipalités sont les cibles les plus attractives du moment. Selon une enquête de l’entreprise Recorded Future, le nombre d’attaques de ransomware contre des villes est passé de 38 en 2017 à 53 en 2018. Rien que sur les quatre premiers mois de 2019, environ 22 attaques ont été signalées.
Ce revirement a attiré l’attention des municipalités dans tout le pays. Ainsi, début juillet, lors de la Conférence des maires des États-Unis qui s’est tenue à Honolulu, 225 maires se sont vus adopter la résolution de ne jamais payer de rançon aux pirates.
Capitulation calculée
Ah, mais ce n’est jamais aussi simple, n’est-ce pas ? Il suffit de demander aux dirigeants des petites villes de Riviera Beach et Lake City, en Floride. En juin, Riviera Beach (35 000 habitants) a accepté de payer une rançon de 65 bitcoins, soit 600 000 dollars (540 000 euros) et Lake City (12 046 habitants), une rançon de 42 bitcoins, soit 460 000 dollars (415 000 euros), pour une clé de déchiffrement. Après des semaines de services municipaux perturbés et de pression de la part des électeurs, les dirigeants ont estimé que le paiement d'une rançon à six chiffres était la solution la moins pénible et la plus rapide.
Les villes ne sont pas les seules à se retrouver face à de tels dilemmes. Les entreprises et les particuliers font toujours intensivement l’objet d'attaques de ransomwares. Et beaucoup en arrivent à la conclusion que la capitulation est leur meilleure option. Un sondage auprès de professionnels de l’informatique réalisé par Osterman Research aux États-Unis, au Canada, en Allemagne et au Royaume-Uni, a révélé que près de 40 % des victimes de ransomwares choisissaient de payer la rançon.
Dans son dernier rapport annuel, le géant britannique des assurances, Beazley Worldwide, a indiqué qu’en 2018, la demande moyenne de rançon s’était élevée à plus de 116 000 dollars (105 000 euros), un chiffre cependant biaisé par quelques demandes très importantes. La plus grosse demande reçue par un client de Beazley s'est élevée à 8,5 millions de dollars (environ 7,6 millions d'euros), soit l'équivalent de 3 000 bitcoins à l'époque. La médiane était de 10 310 dollars (soit environ 9 300 euros).
Beazley a aussi fait remarquer que les PME, qui investissent généralement moins dans la sécurité de leurs informations, couraient un risque plus élevé d'être victimes de ransomwares que les grandes entreprises. Enfin, les secteurs les plus touchés par les ransomwares sont le secteur de la santé, suivi des institutions financières et des services professionnels.
Dans son enquête menée aux États-Unis auprès de 600 dirigeants d’entreprises et de 1 000 particuliers, IBM a découvert qu’un quart des chefs d’entreprises serait prêt à payer entre 20 000 et 50 000 dollars (18 000 et 45 000 euros) pour récupérer l’accès à des données chiffrées, tandis que 55 % des particuliers ont déclaré être prêts à payer une rançon pour retrouver l'accès à des photos de famille numériques.
Des dommages de plus en plus élevés
Ces données sont tout à fait vraisemblables. En novembre dernier, le FBI a accusé deux pirates iraniens d’avoir orchestré l’attaque de ransomware qui a frappé Atlanta. Les enquêteurs disent qu’elle fait partie d'une série de campagnes de cyber-chantage ciblant des hôpitaux, des municipalités, des institutions publiques et des réseaux-clés à travers les États-Unis et le Canada. Le FBI a déclaré qu’à lui seul, le duo iranien aurait perpétré 230 attaques sur diverses entités, recueillant 6 millions de dollars de rançon (environ 5,4 millions d'euros) et causant 30 milliards de dollars de dommages (soit environ 27 milliards d'euros).
D’autre part, une récente analyse de Coveware, un prestataire de réponse aux incidents, conclut que le coût des attaques par ransomware dans tous les secteurs a fortement augmenté au cours du deuxième trimestre 2019, les paiements de rançon ayant augmenté de 184 %, s’élevant à 36 295 dollars (32 700 euros) en moyenne en avril, mai et juin, par rapport à 12 762 dollars (11 500 euros) au cours des trois premiers mois de l’année. Coveware a également constaté que le temps d'indisponibilité moyen résultant d'une attaque par ransomware était passé de 7,3 jours au premier trimestre de 2019 à à 9,6 jours au deuxième trimestre de 2019.
Comme vous le dira tout dirigeant d'entreprise, les temps d'arrêt coûtent cher, en particulier pour les PME à court d'argent. Une étude réalisée par Datto, fournisseur de services et de systèmes aux fournisseurs de services gérés (MSP), a révélé que les temps d’arrêt dus aux ransomwares coûtaient généralement plus de 8 500 dollars par heure aux PME (soit environ 7 700 euros). Datto a interrogé 1 100 MSP dans le monde et a découvert que 63 % d'entre eux avaient déjà été victimes de ransomwares qui entraînaient des temps d'arrêt menaçants pour l'entreprise. Les PME sont confrontées à des demandes de rançon allant de 500 à 2 000 dollars, alors que 7 % des répondants au sondage de Datto ont déclaré ne pas avoir récupéré leurs données malgré le paiement de la rançon. 91 % des personnes interrogées ont déclaré que leurs clients avaient été victimes de ransomwares au cours des 12 derniers mois, 40 % ayant déclaré avoir eu plus de six attaques distinctes au cours de l'année écoulée. 31 % des personnes interrogées ont déclaré avoir déjà subi plusieurs attaques en une journée.
Mathématiques de survie
À première vue, il conviendrait d’adopter une politique consistant à refuser catégoriquement de payer une rançon. Cependant, les impératifs opérationnels liés aux commerce digital se résument souvent à des calculs de survie, en particulier pour les PME. En fait, de tels scénarios sont devenus si courants que Forrester Research a récemment publié un guide de survie sur le paiement des ransomwares.
Il semblerait que dans le contexte actuel, le plus sage pour les PME serait de retenir les services d’une société tierce spécialisée pour négocier avec les cybercriminels afin de parvenir à un résultat acceptable. Cela peut inclure de suivre un processus par étapes et de prendre des mesures pour établir une relation avec l'attaquant. Selon Josh Zelonis, analyste principal de la cybersécurité et des risques chez Forrester, tout cela permet de déterminer si le criminel est prêt et capable de fournir une clé de décryptage valide.
Selon un développement très récent, de nombreuses autres PME et petites villes devraient bientôt devoir prendre ce type de décisions : les MSP sont désormais la cible privilégiée des gangs de ransomwares. D’un point de vue criminel, c’est tout à fait logique. Les MSP utilisent largement les outils de gestion à distance pour administrer les e-mails des entreprises et gérer le partage de fichiers pour le compte de leurs clients.
Meilleures pratiques à suivre absolument
En effet, la cyber-extorsion s’est bien développée. En 2009, lors de mon reportage pour Usa Today, j’avais expliqué comment les fraudeurs avaient lancé des campagnes de scareware (ou logiciel alarmant) qui consistaient à verrouiller des écrans d’ordinateur afin de faire payer 80 dollars (72 euros) une protection antivirus sans valeur. À l'époque, personne ne s'est douté que cette forme de cyber-chantage de bas niveau, visant surtout les particuliers et rapportant des millions de dollars à certains réseaux de piratage, allait se propager et devenir aussi rentable pour les criminels.
Les dés sont pipés. Les créateurs de ransomwares ont tout intérêt, sans parler de tous les outils dont ils ont besoin, à trouver des organisations vulnérables qui seront forcées de faire des calculs de survie. Sur le marché numérique actuel, la réponse traditionnelle qui consiste à refuser catégoriquement de capituler n’est pas du tout adaptée.
Les personnes en première ligne qui défendent ces attaques (analystes de la sécurité qui gèrent les SOC des entreprises, administrateurs informatiques des PME ou MSP desservant plusieurs entreprises) ont une charge de sécurité plus lourde que jamais. Il est impératif d’appliquer les meilleures pratiques de sécurité. Il faut absolument développer les derniers outils et recommandations et le soutien au sein du secteur de la cybersécurité avec des initiatives telles que le programme No More Ransom (« plus de rançons »). Il faut aussi maintenir à jour les anti-malwares, pare-feu, et autres systèmes de prévention des intrusions. Tout le monde doit mieux maîtriser l'inventaire et la gestion proactive de l'accès et de l'authentification. Il faut absolument instaurer et alimenter un esprit de sécurité à toutes les échelles. À bientôt pour d’autres discussions !
L'évolution du ransomware
Le ransomware donne un accès non autorisé à des fichiers ou systèmes informatiques ciblés. Il utilise ensuite un chiffrement puissant, nécessitant une clé de déchiffrage pour laquelle la victime doit payer une rançon, le plus souvent en bitcoin. Voici un historique de l’évolution du ransomware :
- 2013-2014 : Fonctionnalité de réglage. CryptoLocker se propage via des sites Web compromis ou via des e-mails contenant des pièces jointes malveillantes. Il commence à demander le paiement d’une rançon en bitcoin.
- 2016 : Petya. Petya se propage via des services de partage de fichiers sur le cloud. « Petya » fait référence au film de James Bond, GoldenEye, sorti en 1995.
- 2017 : WannaCry. Les attaquants exploitent des outils de piratage dérobés à la NSA. WannaCry utilise le ver Internet qui se propage automatiquement pour se propager d’un appareil à un autre, sans aucune intervention de la part de l'utilisateur. En moins d'une journée, il verrouille les disques durs de 200 000 ordinateurs Windows dans plus de 150 pays, demandant 300 dollars (270 euros) pour une clé de déchiffrement.
- 2019 : villes touchées aux États-Unis. La ville de Baltimore, les aéroports de Cleveland (Ohio) et de Taos (Nouveau-Mexique) et des écoles comptent parmi les 24 entités gouvernementales états-uniennes touchées au cours du premier semestre 2019. Deux petites villes de Floride, Riviera Beach et Lake City, paient respectivement 600 000 dollars (540 000 euros) et 460 000 dollars (415 000 euros) pour des clés de déchiffrement.