Rançongiciels : une cybermenace critique pour les collectivités
L'Anssi a publié une note de synthèse sur l'état de la menace liée aux "rançongiciels". De plus en plus sophistiquées, ces attaques sont potentiellement très coûteuses pour les victimes qui vont du grand groupe industriel international au particulier en passant par les institutions. Notamment les collectivités.
Baltimore (USA), Altran technology, Fleury Michon, le CHU de Rouen ou encore le Grand Cognac (notre article) ... Le point commun entre toutes ces organisations est d'avoir été victimes de rançongiciels en 2019. Une attaque informatique que les experts de la cybersécurité définissent comme "un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui extorquer de l’argent".
Des coûts de récupération des données faramineux
Au total 69 incidents majeurs auraient eu lieu en France au cours de l'année 2019 selon le décompte fait par l'Agence nationale pour la sécurité des systèmes d'information (Anssi) dans la note de synthèse qu'elle vient de publier. Si les rançons ne sont pas toujours payées – l'agence recommande de ne jamais les payer - les coûts occasionnés par la paralysie du système informatique peuvent être faramineux. La ville de Baltimore a dû dépenser 18 millions de dollars (sans payer la rançon) pour y remédier dont 10 millions pour remplacer les ordinateurs. En France, à une tout autre échelle, l'agglomération du Grand Cognac évalue la facture directe (accompagnement, remplacement de certaines machines, logiciels préventifs…) entre "150.000 et 200.000 euros" mais c'est sans compter les trois années de fichiers perdus par les services de la collectivité.
Les collectivités particulièrement ciblées en France
En pleine expansion, la première caractéristique des rançongiciels est de toucher tout le monde. "Aucun secteur d’activité ni zone géographique n’est épargné. Toute entreprise, institution ou particulier ayant un accès à Internet peut être infecté par un rançongiciel s’il n’a pas mis en œuvre des mesures de sécurité informatique basique (sauvegardes à froid, sensibilisation à l’hameçonnage, mise à jour logicielle sur ses machines connectées, antivirus)" met en garde l'Anssi. Parmi les 69 attaques dénombrées en France, l'Anssi note que "les collectivités territoriales et le secteur de la santé sont majoritairement concernés par les incidents relevés. Si cela peut être essentiellement dû à la qualité des signalements d’incidents faits à l’Anssi, cela peut également montrer l’intérêt des attaquants pour des entités réputées faiblement dotées en sécurité informatique ou dont la rupture d’activité aurait un impact social important".
De l'arnaque au grand banditisme
Particulièrement lucratif, les rançongiciels font émerger de nouvelles catégories de cybercriminels. Derrière les rançongiciels dits de "Big Game Hunting" se trouvent en effet des groupes de cybercriminels internationaux dotés de puissants moyens techniques et financiers capables de mener des attaques avec "un niveau de sophistication parfois équivalent aux opérations d’espionnages informatiques opérées par des États". A la différence des attaques massives à propagation automatique, ces attaques ciblent de grandes entreprises ou institutions. Elles utilisent désormais des listes d’adresses de messagerie professionnelle achetées sur le marché noir, afin de "diriger leur campagne d’hameçonnage sur des employés et de compromettre des machines susceptibles de contenir des données importantes".
Le pire reste à venir ?
Face au risque de rupture d'activité qui pèse sur les organisations, de plus en plus de sociétés d'assurance proposent de couvrir ce nouveau risque, le coût de rétablissement du système d'information étant souvent plus élevé que celui de la rançon. En fonction de la nature du cryptovirus et de la cible, celle-ci peut varier de quelques centaines d'euros à plusieurs millions d'euros. Mais s'assurer sans traiter le risque (plan de sauvegarde, stratégie SSI…) n'est pas du tout une bonne idée pour l'agence. D'une part, payer la rançon pour récupérer ses données à court terme ne garantit en rien que l'entité ne sera pas de nouveau attaquée, le spécialiste de la cybersécurité Sophos estimant même en janvier 2018 que "la moitié des victimes de rançongiciels l’étaient plusieurs fois". D'autre part – et c'est plus inquiétant – "les revenus générés par ce type d’attaques et l’émergence d’assurances et de sociétés de négociation valident leur modèle économique et incitent à penser que le phénomène rançongiciel prendra de l’ampleur dans les années à venir". Et d'imaginer que ce type d'attaque pourrait aussi servir à entraver le bon fonctionnement de la police et de la justice en cryptant les données de preuve…