Sous le Covid-19, toujours plus de rançongiciels en ordre masqué

2 février 20217 min

La 21e édition de Panocrim, étude conduite sous l’égide du Clusif, a été rendue publique le 26 janvier 2021. Objectif : dresser le panorama de la cybercriminalité de l’année 2020. Si les rançonneurs intensifient leurs attaques et rivalisent de variantes, la défense s’organise et obtient quelques victoires.

Ceci est une légende Alt

Dire que la visioconférence de présentation de Panocrim était attendue serait un doux euphémisme. Elaborée par le Club de la sécurité de l’information français (Clusif) et destinée à faire le bilan des tendances de l’année précédente en matière de cybercrime, l’édition passant l’année 2020 au crible était au centre de toutes les (cyber) attentions.

Des attaques multipliées par quatre

D’entrée le discours inaugural de Guillaume Poupard, directeur général de l’Anssi, donnait le ton en évoquant la réalité de la menace cyber derrière la crise sanitaire : « depuis un an, tout empire (…). L’heure est grave ». Et de citer l’explosion des interventions du pompier cyber au chevet des victimes : « de 50 actions menées par l’Agence en 2019, nous sommes passés à près de 200 ». Soit une multiplication par quatre des attaques d’envergure, tout en rappelant qu’elles touchaient aussi bien « les entreprises du secteur privé que celles du public ».

Derrière cette réalité, une conviction : la crise sanitaire n’en est pas la cause. C’est plutôt le modèle économique des attaquants qui est monté en puissance, en obéissant à une logique imparable :

  • des possibilités d’intrusion décuplées par la disponibilité et la facilité d’utilisation des outils numériques
  • une spécialisation à outrance des criminels calquée sur la division économique du travail ;
  • une quasi-impunité pour les attaquants les plus sérieux, parfois protégés par des instances étatiques.

Cette organisation industrielle du crime est hautement profitable financièrement. Les cybercriminels gagnent de l’argent et réinvestissent leurs gains, renforçant la dynamique du crime.

Comment casser le cercle vertueux du cybercrime ? Le patron de l’Anssi évoque quatre pistes :

  • priorité à la sensibilisation, à la détection, à la prévention et à la protection vis-à-vis des risques cyber par chacun des acteurs, car envisager un bouclier de protection collectif est une chimère ;
  • développer les enquêtes judiciaires et montrer une volonté de poursuivre les fauteurs de trouble ;
  • mettre en commun les compétences de l’écosystème français de la cybersécurité ;
  • structurer la cyberdéfense européenne, en initiant une réglementation intelligente et en œuvrant à la souveraineté numérique.

Un virus peut en cacher un autre

De fait, même si une partie des éditeurs de ransomware avait averti pratiquer une trêve en direction des établissements de santé pour cause de Covid-19 – « peut-on raisonnablement faire confiance au grand cœur d’une bande d’escrocs ? », s’interrogeait ainsi Loïc Guézo (Proofpoint) – les attaques se sont massivement engouffrées dans les multiples brèches ménagées par la gestion de la crise sanitaire.

Le télétravail a favorisé le développement des attaques en atomisant les postes dans des environnements parfois non-maitrisés, tout en maximisant les connexions à distance. La demande croissante et urgente pour du matériel sanitaire (masques, gel hydroalcoolique…) ou pour des prêts garantis par l’Etat en direction des entreprises en difficulté ont décuplé les copies malveillantes de sites institutionnels et les abus de confiance.

Faux mails, faux sites, faux SMS, la guerre s’est intensifiée sur le front cyber. Et s’est propagée très loin, n’épargnant personne. Jusqu’à la production et la logistique d’approvisionnement des vaccins, en passant par les collectivités locales, comme les villes de Marseille (mars 2020) ou d’Angers (janvier 2021), comme le rappelait le Clusif lors du rapport Mips dès juillet 2020.

Une économie florissante

La face cachée du web, le « dark web », abrite les rouages de l’économie souterraine des cyberpirates. Cette mécanique à présent bien huilée, démontée par Marine Martin (AG2R La Mondiale) et Gérôme Billois (Wavestone), sert des attaques de plus en plus pointues.

Il y a les spécialistes de l’intrusion, via le phishing ou les botnets, qui revendent des accès. Des hébergeurs peu regardants servent d’abri à des structures peu reluisantes. Des groupes très organisés ont créé des plateformes avec des charges malveillantes, prêtes à déployer chez les victimes.

Ce sont de « véritables PME du cybercrime », employant jusqu’à dix développeurs, aptes à planifier la gestion d’une attaque :  de la fourniture du code à la pression directe sur les victimes, en passant par l’incontournable publicité sur le taux de réussite et le profit espéré.

Les affiliés, c’est-à-dire les criminels mains qui réalisent concrètement l’attaque, ont des profils très variés. Ils sont recrutés par les plateformes, qui leurs reversent une partie de la rançon, et « montent en grade progressivement ».

Enfin, les blanchisseurs, ou « mules », sont chargés de convertir la rançon en monnaie échangeable. Tout en prélevant au passage une part du gâteau.

Une impunité totale ?

Ces professionnels du cybercrime, ciblés par les avis de recherches contre rançon lancés par le FBI ( au nombre de 73 en août 2020), sont-ils à l’abri de toute sanction ? En dépit des liens entretenus par certaines organisations avec des Etats, des arrestations et des inculpations ont lieu.

Les infiltrations de groupes malveillants (EncroChat), le démantèlement de réseaux de botnets (comme Trickbot, qui serait en train de renaître de ses cendres en visant des cabinets d’avocats et des compagnies d’assurance), l’arrestation de membres activistes (3 pirates en lien avec le groupe TMT au Niger), le procès du russe Alexander Vinnik extradé vers la France (condamné à 5 ans de prison et 100 000 euros d’amende en janvier 2021, qui a fait appel) sont autant de victoires.

En la matière, la coopération internationale entre les différentes forces de polices est un maillon essentiel. La récente prise de contrôle d’Emotet, l’un des botnets les plus nuisibles de la dernière décennie, est ainsi l’œuvre d’une collaboration entre les autorités de plusieurs Etats, coordonnée par Europol.

Si l’on se tourne à présent vers les infractions au RGPD, le Clusif constate que « l’heure de la pédagogie est terminée ». Tant les amendes importantes, que le nombre d’établissements condamnés, entraînent les acteurs à intégrer les manquements à la protection des données dans leur cartographie des risques.

Rappelons qu’en 2020, le montant total des amendes liées à la violation du RGPD prononcées par les pays de l’UE s’élevait à 306,3 millions d’euros, selon le rapport Finbold.

Des tendances émergentes

Centré sur les ransomwares, cette édition du Panocrim a aussi passé en revue quelques tendances émergentes, autant de situations à risques potentiels.

Les vulnérabilités liées au téléphones portables, notamment le téléchargement d’applications malveillantes, montrent que les menaces dirigées vers les mobiles possèdent de multiples visages. La possibilité de programmation à distance des objets connectés, illustrée par l’intervention sur la puissance ou le système de freinage d’une automobile Tesla, représente aussi une faille latente. La récente affaire SolarWinds, où c’est directement la chaîne d’approvisionnement numérique qui a été visée au travers de ce fournisseur « officiel » de logiciels, met en avant la dangerosité des attaques par tiers de confiance.

Au bout des 2h30 de présentation (disponible en Pdf ou en replay), le Clusif a conclu sur l’image d’un iceberg assortie d’un avertissement : « les rançongiciels restent la menace numéro un, mais elle ne doit pas masquer les autres ».

Bernard Jaguenaud, rédacteur en chef

Bernard Jaguenaud – Rédacteur en chef

---

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.