Au fil des années, le ransomware a fini par s’imposer comme la cyberattaque la plus dévastatrice. Comment et quand ce modus operandi est-il apparu ? Quelle est sa genèse ?
C’est en 1989 que s’est produite la première attaque par « rançongiciel » (ransomware) dans le monde. Le cheval de Troie AIDS avait alors surpris le monde entier. Distribué sous forme de disquettes délivrées par voie postale, il contraignait les utilisateurs victimes à envoyer la somme de 189 dollars à une boîte postale située au Panama. Cependant, l’ampleur réelle de l’attaque fut mineure à l’époque, dans la mesure où seul un nombre limité de personnes avait accès à un ordinateur. Par ailleurs, Internet était essentiellement réservé à des chercheurs ou des experts en technologies.
Quand le ransomware est-il devenu réellement dangereux ?
La pratique du rançongiciel est restée relativement dans l’ombre au cours des années 90 et jusqu’au début des années 2000 avant de refaire surface sous forme d’applications et de logiciels escrocs. La première vague a été repérée aux alentours de l’année 2005. Il s’agissait d’attaques dissimulées derrière l’apparence d’un logiciel légitime – notamment des programmes d’optimisation de PC et des nettoyeurs de disques. Ces derniers ont été suivis par de faux logiciels antivirus, les cybercriminels imitant alors les produits les plus populaires sur le marché. Sont ensuite apparus le rançongiciel Locker et sa variante la plus connue, CryptoLocker.
Pourriez-vous en davantage plus sur ce ransomware ?
Le rançongiciel CryptoLocker (qui fait actuellement les gros titres de l’actualité) a fait son apparition en 2012, lorsque des pirates ont désactivé le contrôle d’accès à une machine contre le versement d’une « amende », autrement dit d’une rançon. Dans un contexte professionnel, les dommages encourus peuvent être particulièrement importants. En effet, le volume de données susceptibles d’être perdues est plus élevé et va provoquer toutes sortes de problèmes en matière de continuité de l’activité. Des premières attaques ciblées à la nouvelle vague de cybermenaces nécessitant des compétences informatiques minimes, toutes ces attaques forment un ensemble qui façonne le modèle économique du rançongiciel.
Quel est ce modèle ? Est-il si juteux pour les cyberpirates ?
Un récent rapport de SentinelOne montre que près de la moitié (48 %) des entreprises dans le monde ont subi une attaque par rançongiciel au cours de l’année écoulée et 65 % d’entre elles indiquent avoir payé la rançon pour une moyenne établie à 600 euros. Partant de ce constat, il est aisé de voir pourquoi le rançongiciel est une affaire qui marche. En effet, sur la base de ces chiffres, si un attaquant cible 1.000 entreprises à hauteur de 600 euros chacune et que 65 % d’entre elles payent la rançon, cela équivaut à un retour supérieur à 390 000 euros. Tout ceci en quelques minutes seulement.
Le ransomware a donc tout pour devenir un marché florissant…
À mesure que les entreprises progressent dans le décryptage des données, les créateurs de rançongiciels doivent redoubler de créativité. Le secteur du rançongiciel est aujourd’hui en pleine mutation, le rançongiciel lui-même devenant de plus en plus la marchandise finale, échangée dans le cadre du modèle « as a Service » ou bien sous la forme d’un kit DIY (Do It Yourself : faites-le vous-même) personnalisable pour répondre aux besoins de l’attaquant. Les pirates l’ont bien compris : il y a là une opportunité commerciale à ne pas manquer. Un crypto-rançongiciel baptisé Stampado (vendu sur le Dark Net pour la somme de 39 dollars) a même bénéficié d’une vidéo YouTube faisant la promotion du modèle Ransomware as a Service (RaaS).
De quoi démocratiser et banaliser la cybercriminalité !
La possibilité d’acheter des rançongiciels à un prix extrêmement compétitif signifie que l’envoi d’une demande de rançon à une entreprise est désormais à la portée de n’importe qui, y compris de ceux disposant d’un bagage informatique faible, voire nul. Une chose est claire : les avantages commerciaux juteux à la clé, via l’exploitation de modèles de franchise, n’ont certainement pas échappé aux développeurs de rançongiciels. Ces derniers peuvent ainsi atteindre une échelle bien plus importante tout en minimisant les risques encourus. Dès lors qu’ils parviennent à un équilibre financier entre la récompense demandée et le pourcentage retenu par leur franchisé, ils s’assurent des bénéfices toujours plus confortables.
Selon vous, à quoi va ressembler le ransomware de demain ?
Prédire les prochaines cibles des rançongiciels et l’évolution des technologies n’est pas une science exacte, loin s’en faut. Cependant, nous pouvons nous pencher sur les modèles du passé pour avancer des hypothèses sur ce qui pourrait arriver à l’avenir. Par exemple, une année ou deux après avoir atteint un pic, on observe généralement que les cybercriminels tournent leur attention vers une variante différente de programme malveillant. Cependant, au vu de l’explosion du nombre d’appareils intelligents et connectés, il n’est guère surprenant que ceux-ci soient mis en avant comme une cible potentielle. Tous sont susceptibles d’être piratés et verrouillés jusqu’au versement d’une rançon par l’utilisateur. Imaginez la scène : vous vous retrouvez bloqué à l’extérieur de votre maison intelligente ou coincé dans votre voiture intelligente pour un détour non planifié. Selon les prévisions des analystes, il est raisonnable de tabler sur l’existence de 20,8 milliards d’objets connectés d’ici 2020. Les opportunités qui s’ouvrent aux hackers sont illimitées.
Cela fait froid dans le dos… Comment peut-on se prémunir contre de telles attaques ?
Le rançongiciel s’inscrit comme une tendance durable car il offre aux cybercriminels un modèle économique rentable. Il ne s’agit pas pour autant de dire que nous allons tous devenir des victimes. Une entreprise peut tout à fait se prémunir des risques et ce, de plusieurs façons. Tout d’abord, il vaut mieux utiliser un produit offrant une garantie relative à sa technologie de protection. Mais aussi aller au-delà de la simple détection basée sur signature. Les concepteurs de programmes malveillants le savent parfaitement : leur code est très souvent identifié par sa structure. Ils vont donc ajuster leur « produit final » en conséquence. Investissez plutôt dans un dispositif de détection basée sur le comportement qui identifiera le parcours et les actions du logiciel malveillant avant de mettre en place des mesures de protection. Mettez aussi en œuvre un processus de sauvegardes régulières. Le recours fréquent aux sauvegardes (définies à des intervalles adéquats par rapport aux mécanismes utilisés) peut faire office de garantie en cas d’attaque. Enfin, sensibilisez les utilisateurs au modèle économique du rançongiciel, en particulier au RaaS. Nous continuerons à observer des attaques par rançongiciel au cours de l’année 2017. Une main-d’œuvre bien informée constitue notre première ligne de défense face à cette menace.
Propos recueillis par Erick Haehnsen
Commentez