[2021-02-01] L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié le 01 février 2021 un document de synthèse présentant l’état de la menace dite rançongiciel (« ransomware » en anglais) à l’encontre des entreprises et des institutions.
Ce document très complet de 34 pages alerte sur l’évolution grandissante de ce mode de menace informatique.
En hausse depuis 2018, ce type d’attaque permet à l’assaillant d’introduire dans le système informatique de l’entreprise un code malveillant qui empêche la victime d’accéder au contenu de ses fichiers, en les chiffrant directement sur le réseau de l’entreprise. Une demande de rançon est alors envoyée par les cybercriminels afin de « débloquer » la situation. Le montant de la rançon dépend du type de rançongiciel ainsi que du profil de la victime et peut atteindre plusieurs millions de dollars pour des entreprises dont l’arrêt d’activité a des conséquences financières importantes.
Au niveau des vecteurs d’infection, on retrouve évidemment les classiques courriels d’hameçonnage (permettant d’introduire un cheval de Troie ou un code malveillant), mais également les visites de sites « piégés » ou encore l’exploitation de vulnérabilités du système d’information de l’entreprise. La forte recrudescence du télétravail en cette période de pandémie a notamment vu l’accroissement d’attaques sur des logiciels VPN utilisés pour l’accès à distance aux réseaux des entreprises.
La diversification de l’écosystème criminel autour de ce mode d’extorsion est particulièrement impressionnant : services d’abonnements pour les cybercriminels permettant de mener ces opérations à moindre coût voire sans compétence technique pointue (en exploitant une infrastructure déjà développée et des systèmes de paiement pré-configurés), sous-traitance des opérations de compromission de système d’information, achat sur le DarkWeb d’accès compromis…et l’on voit même apparaitre des sociétés spécialisées dans le domaine de la négociation et de la médiation entre la victime de rançongiciel et l’attaquant. Les paiements sont en cryptomonnaie virtuelle convertible (Bitcoin, Monero), moins facilement traçable.
Concernant le profil des victimes, sont évidemment ciblées les entreprises ou collectivités ayant les moyens de payer des rançons élevées, avec une majorité de cibles localisées aux États-Unis. Les pays membres de la Communauté des États Indépendants (CEI), qui regroupe 9 des 15 anciennes républiques soviétiques, sont semble-t-il épargnés (un hasard, sûrement). Le secteur de la santé n’est pas épargné par tous les opérateurs de rançongiciel (certains semblant disposer d’un sens de l’honneur plus développé que d’autres), en témoigne l’attaque du centre hospitalier français de Marmande-Tonneins en 2020, et tout récemment celui de l’Hôpital Nord-Ouest de Villefranche-sur-Saône.
A noter que les fournisseurs de services numériques sont souvent ciblés, soit en tant que cible principale, soit par l’accès que ces fournisseurs permettent à d’autres cibles. L’exemple de l’entreprise française Xefi, spécialisée dans les services dédiés aux PME, qui, compromise par un rançongiciel, a permis sa propagation sur les réseaux de ses clients par le biais d’un outil de supervision, est un cas d’école.
L’ANSSI fait un gros travail de sensibilisation des entreprises aux enjeux de la sécurisation de leurs systèmes informatiques et dispose de nombreux guides utiles pour la mise en place et le test des systèmes d’information. Nul doute que la cybersécurité est en passe de devenir un atout clé des entreprises.
Article rédigé par Karim Chelly, membre du réseau DM Experts.