Que se passe-t-il lorsqu’un rançongiciel frappe un service de police ? Aux États-Unis, six suspects d’une affaire de trafic de drogues ont été relâchés par la police de Stuart d’après Contact 5. Pourtant, le dossier semblait bétonné : possession de meth, possession de cocaïne, vente, fabrication, livraison… En tout, la police avançait plus de 28 charges contre les 6 suspects. Mais des fichiers essentiels à l’enquête ont été perdus après qu’un rançongiciel a infesté le système de cette petite division floridienne.
Techniquement, la police détient toujours les preuves sur ses serveurs, mais les données sont chiffrées par les hackers. Pour pouvoir les déchiffrer, il leur faut la clé, contre laquelle les hackers demandent une rançon de 300 000 dollars en bitcoin. Problème : tous les experts s’accordent pour dire qu’il ne faut pas la payer. Pour récupérer leurs données, les victimes doivent s’appuyer sur leur système de sauvegarde, parfois lacunaire.
Les rançongiciels partent le plus souvent d’un hameçonnage : un employé ouvre une pièce jointe qu’il n’aurait pas dû. // Source : Claire Braikeh pour Numerama
Six semaines de police low tech
En avril 2019, des hackers malveillants avaient ciblé plusieurs services de la ville de Stuart. Leur campagne de phishing personnalisé a fonctionné sur un officier de police. L’agent a ouvert l’email hameçon et téléchargé la pièce jointe, qui contenait le rançongiciel Ryuk. Comme l’explique l’Anssi dans son rapport annuel, Ryuk est construit pour s’attaquer à de grosses structures, et est connu pour viser des institutions publiques, mais aussi des entreprises, comme Fleury Michon en France. Le logiciel a été développé par un groupe de cybercriminels russe, et ses opérateurs font attention à ne pas viser des réseaux identifiés comme russes.
Une fois Ryuk déposé sur le système de la police de Stuart, les assaillants ont attendu deux mois pour le déployer. Il a ainsi chiffré l’ensemble des données, et les hackers ont réclamé, comme à leur habitude, une rançon en bitcoins. Les policiers ont suivi le conseil du FBI de ne pas payer, malgré une lourde conséquence : pendant six semaines, les 46 employés du département ont travaillé sans informatique, seulement au papier et au stylo.
La police a perdu une demi-année de preuves
Ensuite, le département a suivi une procédure classique : elle a déployé progressivement la dernière sauvegarde de son système, tout en s’assurant d’éliminer toute trace du rançongiciel. Problème : celle-ci était trop vieille et incomplète, de sorte que certaines données n’ont pas été récupérées. Le Sergent Mike Gerwan estimait en réponse à Contact 5 que la police a perdu une demi-année de preuves numériques, dont des photos et des vidéos. Un an plus tard, le département de police est toujours en train d’analyser l’attaque et de renforcer certaines protections.
Le cas de Stuart est loin d’être isolé
Le département de police affirme avoir appris de son erreur, et a modifié sa façon de sauvegarder les preuves pour éviter la perte. Il entraîne désormais ses employés à reconnaître le phishing et à se méfier, même lorsque les emails proviennent d’adresses de collègues.
Dans le cas de Stuart, la perte de preuves fait tache, mais son cas n’est pas isolé, dans un pays ciblé bien plus régulièrement qu’en France. Sur les quatre dernières années, zdnet.com liste 6 cas de rançongiciels aux conséquences similaires, dont la dernière en décembre 2019. Parfois, ce sont des années de preuves qui sont placées hors d’accès. Finalement, peut-être que la police de Stuart ne s’en sort pas si mal.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
