Une erreur dans le texte ?

Comprendre les attaques rançongiciels en 6 points clés

L'aide ne sera pas de trop. Ce 18 février, le gouvernement a présenté sa stratégie pour faire évoluer le secteur de la  cybersécurité française. Ce plan est doublé d'une série de mesures dédiées aux établissements de santé, que le président a lui-même présentées. Et pour cause : depuis le début de l'année 2021, les autorités publiques doivent intervenir chaque semaine sur une attaque différente contre un établissement de santé.

Les deux dernières en date, à Dax et Villefranche-sur-Saône, ont concentré l'attention et remis le sujet sur la table. Ce genre d'incident se produisait régulièrement ces dernières années -- l'exemple le plus connu étant celui du CHU de Rouen fin 2019 -- mais ils se déroulaient discrètement. Après tout, aucune organisation n'a envie d'avouer qu'elle s'est fait pirater.

Si pouvoirs publics et médias parlent de « cyberattaques » pour simplifier le discours et englober les différents incidents, dans l'écrasante majorité des cas, les attaques contre les hôpitaux sont de type rançongiciel. En 2021, ces malwares, aussi appelés ransomwares, sont la menace la plus redoutée par les hôpitaux... mais aussi par toutes les entreprises, y compris les spécialistes de la cybersécurité. Pour mieux comprendre leur fonctionnement et leurs effets, voici quelques explications.

Quelles sont les conséquences d'une attaque rançongiciel ?

Un rançongiciel est un logiciel malveillant capable de paralyser toute une organisation. Lorsqu'il frappe, les ordinateurs s'arrêtent de fonctionner, tout comme les logiciels, les moyens de communication (emails professionnels, standards téléphoniques) ou encore les machines (du portique de sécurité aux machines de radiothérapie). Et bien sûr, plus aucun document touché n'est lisible. Cette paralysie est plus ou moins généralisée selon l'étendue sur laquelle s'est propagé le rançongiciel au sein du réseau informatique de la victime. Dans le meilleur des cas, les responsables informatiques parviennent à le contenir à une seule partie de l'organisation.

Concrètement, un rançongiciel va chiffrer les données qu'il croise. Autrement dit, il va les remplacer par des chiffres et des lettres selon un motif défini par une clé de chiffrement développée par les cybercriminels. C'est ce chiffrement qui a pour effet l'arrêt du fonctionnement des appareils informatiques. Pour l'inverser, il faut détenir la clé, et créer un outil pour inverser son motif. En conséquence, à moins qu'un bug soit découvert, seuls les responsables de l'attaque peuvent corriger leurs dégâts.Et justement, ils proposent de le faire, mais seulement contre rémunération. Ils vont déposer sur chaque appareil contaminé une note de rançon (demandée le plus souvent en Bitcoin ou en Monero, des cryptomonnaies) avec un moyen de contact. Ils s'engagent, si la victime paie sous un certain délai, à déchiffrer ses fichiers, et donc à rétablir la situation à la normale.

Comment les cybercriminels lancent-ils leurs attaques rançongiciel ?

Le plus souvent, les cybercriminels déploient leur rançongiciel grâce à un phishing. Ils envoient des emails piégés à leurs cibles, en mentant sur son contenu. Ces emails peuvent être envoyés à des cibles aléatoires ou être taillés sur mesure pour convaincre une victime précise. Si une personne de l'organisation visée télécharge le document malveillant en pièce jointe de l'email, elle ouvre involontairement une porte aux malfrats. Généralement, ce fichier va exploiter des failles de sécurité connues.Autrement dit, les cybercriminels vont profiter du manque de mises à jour régulières de l'organisation pour exploiter des vulnérabilités. Une fois qu'ils sont parvenus à installer une porte dérobée entre leurs serveurs et ceux de la victime, ils vont déposer et répandre le rançongiciel.

Il existe plusieurs dizaines de rançongiciels, développés par différents gangs. La plupart d'entre eux fonctionnent sur un modèle de ransomware-as-a-service. Concrètement,  les développeurs vont fournir leur logiciel malveillant à une poignée de hackers qu'ils auront triés sur le volet. Ces partenaires de crime vont se charger de lancer les attaques et de faire chanter les victimes. Si une victime paie, le gang empoche entre 20 et 40 % de la somme, et laisse le reste à son associé, plus exposé et investi dans l'attaque. Ce mode de fonctionnement rend l'activité des gangs difficile à tracer et contenir. Il faut arrêter les hackers qui lancent les attaques, ceux qui développent les outils, et en plus il faut faire tomber l'infrastructure informatique qu'ils utilisent.

Payer ou ne pas payer le rançongiciel ? Un choix perdant-perdant

Les victimes de rançongiciel sont confrontées à un dilemme. Première option : elles paient la rançon, et se faisant, elles récompensent et alimentent l'organisation cybercriminelle. Le tout, en n’ayant aucune garantie que les maîtres chanteurs respectent leur parole, et en sachant qu'ils reviendront encore plus forts grâce à ce financement. En théorie, cette voie est déconseillée de façon unanime. Mais dans les faits, beaucoup se plient aux exigences des malfrats.Deuxième option : les victimes décident de ne pas payer la rançon et de reconstruire leur système informatique à partir de leurs sauvegardes. C'est la voie préconisée par l'Anssi, celle que vont suivre les hôpitaux publics. Pour que les victimes puissent choisir cette seconde option, il faut qu'elles aient un système de sauvegarde suffisamment régulier et performant, et que les attaquants ne soient pas parvenus à le corrompre. 

De plus, ce processus peut être long et laborieux. Or pendant ce temps, l'entreprise fonctionne au ralenti, ce qui peut entraîner des pertes vertigineuses. Résultat : le plus souvent, il est plus rentable de payer la rançon. La facture sera moins élevée, et l'entreprise redémarrera plus tôt. Dans les deux cas, la victime doit se confronter à un problème de confidentialité des données, et des rapports difficiles avec ses clients touchés.

Choisir de ne pas payer est de plus en plus difficile, car les cybercriminels redoublent d'inventivité pour faire plier leurs victimes. Une pratique apparue en 2019 s'est aujourd'hui généralisée : si la victime ne paie pas, les rançonneurs menacent de publier ou de vendre ses données. Certains gangs vont encore plus loin : ils impriment les notes de rançons sur toutes les imprimantes infectées pour créer un effet de panique, narguent leurs victimes directement sur Facebook, les harcèlent au téléphone, ou encore lancent d'autres attaques tant que la rançon n'a pas été payée. Chaque mois, une nouvelle méthode d'extorsion apparaît.

Seule bonne nouvelle dans le paysage des rançongiciels : les forces de l'ordre parviennent à s'organiser pour contre-attaquer plus efficacement. Depuis le début de l'année 2021, Europol a frappé coup sur coup. Il a d'abord coordonné le démantèlement d'Emotet, un gang qui fournissait les opérateurs de rançongiciels en accès aux réseaux des victimes. Puis ils ont neutralisé NetWalker, avant de faire un coup de filet contre Egregor, une des cadors du secteur.