Dans son bilan de l’année 2020, la Cnil déclare avoir reçu plus de 500 notifications liées aux attaques par rançongiciel (ransomware). Un record, à tel point que la Commission estime que ce procédé est devenu « l’attaque la plus répandue ».

Il suffit de parcourir les colonnes de Cyberguerre pour s’en rendre compte : les attaques par rançongiciel (ransomware, en anglais) ont la cote dans la cybercriminalité. Il faut dire que les opportunités de gains sont considérables : le logiciel malveillant prend en effet des documents et des fichiers en otage et exige le versement d’une rançon pour, peut-être, les libérer. Mais ce dénouement ne survient pas toujours.

Cet engouement pour le rançongiciel se reflète dans le dernier rapport d’activité de la Cnil — la Commission nationale de l’informatique et des libertés. Publié le 18 mai, il tire le bilan de l’année 2020 en faisant observer que, du côté des notifications de violation de données personnelles, l’attaque par rançongiciel constitue « l’attaque la plus répandue », avec plus de 500 notifications remontées.

L’attaque la plus répandue en 2020

Il faut dire que pour les assaillants, le rançongiciel permet de gagner facilement de l’argent : les montants demandés s’adaptent à la cible (cela peut aller de quelques centaines d’euros pour le particulier à des millions d’euros pour les grandes structures) et la couverture par une assurance fait qu’il est tentant de régler l’incident par un virement et d’attendre une indemnisation.

Cela pourrait toutefois changer : en France, l’assureur Axa a annoncé qu’il ne couvrira plus les dépenses liées aux attaques par rançongiciel. Cela pourrait paradoxalement avoir une incidence positive contre ce type de logiciel malveillant : les assurés, s’ils savent qu’ils ne sont plus soutenus par leur assureur, pourraient y réfléchir à deux fois avant de payer. Et ils pourraient dans la foulée mieux se prémunir.

De façon générale, la Cnil « constate une nette progression des notifications liées à une perte d’intégrité (données modifiées illégitimement) et de disponibilité (données inaccessibles pendant un certain temps). Cette évolution est notamment due à la progression des violations résultant d’une attaque par rançongiciel », lit-on dans une fiche centrée sur la cybersécurité.

billet-euros

Le rançongiciel est une attaque qui peut rapporter gros. // Source : Moerschy

Le but d’un rançongiciel consiste à bloquer le contenu des ordinateurs et de menacer de le supprimer au bout d’un moment, si un versement, généralement dans une cryptomonnaie, n’est pas effectué avant la fin d’un décompte. Les victimes sont alors pressées par le temps et par le risque de perdre des informations critiques, qu’elles n’ont peut-être pas dupliquées sur une sauvegarde à part.

Le déchiffrement des postes informatiques, qui sont alors inutilisables, dépend en théorie du paiement de la rançon, mais la fourniture de la clé pour débloquer les machines n’est pas garantie. En outre, elle n’est pas toujours une solution idéale. Dans le cas du piratage d’un important oléoduc américain, le paiement d’une rançon a permis d’obtenir la clé de déchiffrement, mais elle n’a pas été très utile.

De façon globale, la Cnil a reçu 2 825 notifications de données personnelles, en hausse de 24 % en 2019. Les rançongiciels, qui sont inclus dans cette statistique, sont donc aussi en augmentation, avec une bascule du ciblage vers les établissements de santé, selon la Cnil, notamment en 2021. Ce n’est d’ailleurs pas par hasard qu’Emmanuel Macron a annoncé, en février, un plan de défense des hôpitaux.

« Les règles de base en sécurité ne sont pas toujours respectées »

Cette hausse, poursuit la Cnil, est donc liée aux rançons qu’il est possible de soutirer, mais aussi à l’impréparation des systèmes informatiques. « Les règles de base en sécurité ne sont pas toujours respectées », observe la Cnil dans son rapport. Ce ne sont pas tant les grands groupes qui sont vulnérables, bien qu’ils subissent parfois des attaques de ce type, que les entreprises de taille plus modeste.

« Les organismes de taille moyenne souvent insuffisamment équipés en matière de sécurité informatique ont été particulièrement touchés par la vague de rançongiciels qui frappe l’ensemble des entreprises et administrations depuis quelques années », écrit l’autorité, qui signale encore « de nombreux manquements », y compris pour « des règles élémentaires de protection et de sécurité ».

Mais, dans son rapport, la Cnil nuance aussi cette hausse par le fait que la règlementation impose la désignation d’un délégué à la protection des données et, par ricochet, l’envoi d’une alerte à la Commission nationale de l’informatique et des libertés — notification qui n’était pas toujours effectuée avant. Le Règlement général sur la protection des données fixe ces obligations dans la loi.

Un constat partagé par l’Anssi

L’Agence nationale de la sécurité des systèmes d’information (Anssi), qui est le pompier de l’État dans le cyber, a aussi constaté une augmentation continue du nombre d’attaques par rançongiciel depuis 2018. Dans un rapport, il est qualifié de « menace informatique la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité ».

En 2019, l’Anssi indiquait avoir reçu 54 signalements. En 2020, les incidents qui lui ont été rapportés sont passés à 192, soit une hausse de 255 %. L’écart avec la Cnil peut s’expliquer à la fois par le fait que ce qui est signalé à la Cnil ne l’est pas forcément à l’Anssi, et que ce dernier se concentre sur l’administration, les opérateurs d’importance vitale et les services essentiels, et pas nécessairement sur la TPE.

Face aux rançongiciels, des actions sont à mener en amont et en aval. En aval, quand c’est déjà trop tard, c’est-à-dire quand le logiciel malveillant verrouille déjà les machines, il est faut éteindre les postes et les déconnecter du réseau. Il faut s’abstenir de payer la rançon, déposer plainte, prévenir son service informatique, mais aussi la Cnil et se rendre sur le portail d’assistance Cybermalveillance.

En amont, il y a aussi une série de bonnes pratiques à mettre en œuvre : cela passe par la mise à jour régulière et dès que possible de ses logiciels, afin de colmater les brèches qui sont découvertes de temps à autre. Il faut aussi compartimenter son réseau et limiter les droits sur un PC quand on n’en a pas besoin. L’emploi d’un antivirus est aussi un plus, et, surtout, il faut faire des sauvegardes.


Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !