Qu’est-ce que le rançongiciel, qui se cache derrière de plus en plus de cyberattaques en France ?

Les hôpitaux de Dax et de Villefranche et la Mutuelle nationale des hospitaliers en l’espace d’une semaine, la municipalité de Marseille à la veille du premier tour des municipales, le CHU de Rouen ou encore le groupe M6 fin 2019… Les attaques informatiques par rançongiciel se sont multipliées en France depuis deux ans. En seulement un an, elles ont augmenté de 255% selon l’Autorité nationale de la sécurité des systèmes d’information (Anssi), passant de 54 attaques rapportées en 2019 à 192 attaques en 2020. Si ces attaques existent depuis longtemps, elles sont aujourd'hui favorisées par les changements d'usages et la désorganisation qui résultent de la crise sanitaire. "Les rançongiciels représentent actuellement la menace informatique la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité", s’inquiète l’Anssi dans un rapport publié début février. En quoi consistent ces attaques ? Pourquoi sont-elles plus nombreuses ? Que deviennent les données piratées ? Coup de projecteur sur ce logiciel malveillant, pris très au sérieux. 

Un rançongiciel, contraction de rançon et de logiciel et dérivé de l’anglais ransomware, désigne un logiciel utilisé par des cyberattaquants qui s’infiltre dans un disque dur, bloque ses données en les chiffrant et qui demande une rançon en bitcoins en contrepartie de la délivrance d’un mot de passe servant à les déchiffrer. Dans chaque cas de figure, une rançon est demandée. "Le but est de récupérer de l’argent, nous sommes dans une logique de crime organisé", avance Frédérique Duflot de la société EXAMIN, dédiée à la conformité cyber des entreprises. Pour parvenir à accéder à un système informatique, le rançongiciel peut par exemple utiliser la méthode du phishing (ou de l’hameçonnage), qui consiste à récupérer des identifiants et des mots de passe au travers d’un mail piégé. "Si l'on regarde de plus près le piratage, c'est souvent quelque chose de très bête : quelqu'un qui a cliqué sur un mail de phishing et qui a installé un ransomware, un mot de passe faible, un mot de passe par défaut pas changé…" souligne Corinne Henin, experte indépendante en cybersécurité.

L’augmentation des attaques par rançongiciel, relevée par l’Anssi, s’explique tout simplement par le fait que le cybercrime paie. Ces attaques se révèlent ainsi très rentables par rapport au coût de leur mise en œuvre. "De mars à juillet 2020, Netwalker aurait généré 25 millions de dollars, tandis que Ryuk aurait accumulé 150 millions de dollars depuis ses débuts en 2018", selon l’Anssi, citant deux rançongiciels particulièrement rentables. "Le cybercrime reste très rentable. Bien plus rentable que d’aller en bourse et moins dangereux que de vendre de la drogue", relève Frédérique Duflot. Selon lui, avec un bitcoin aujourd’hui au plus haut (mardi 16 février, il passait la barre des 50.000 dollars pour la première fois), les attaquants qui détiennent des cryptomonnaies disposent d’une trésorerie importante qui peuvent leur servir à acquérir ou développer de nouvelles capacités. Dans ce contexte, l’Anssi s’inquiète que cette rentabilité "laisse présager une constance, si ce n’est une hausse, de la menace liée aux rançongiciels dans les années à venir".

Pour les entreprises qui font les frais de ce type d’attaque, la facture est souvent très lourde. L’entreprise Sopra Steria, victime du rançongiciel Ryuk en octobre 2020, a déboursé 50 millions d’euros pour réparer les dégâts causés. La ville américaine de Baltimore, ayant subi une attaque signée RobinHood en mai 2019, a dû s’acquitter d’une somme de 18 millions de dollars après avoir refusé de payer la rançon.

Pour diriger ce type d'attaque, les pirates ont plusieurs modes opératoires à leur actif. Toujours dans son rapport de février, l’Anssi indique que "l’écosystème cybercriminel est constitué de vendeurs et d’acheteurs de biens (codes malveillants, accès compromis, données personnelles volées, etc.) et de services (location d’infrastructures de déni de service, d’anonymisation, etc.)". Et que "les opérateurs de rançongiciel peuvent sous-traiter une grande partie des ressources et outils nécessaires à la réalisation de leurs opérations". 

Concrètement, des plateformes comme Ryuk, qui est derrière l’attaque de l’hôpital de Villefranche, collaborent avec des pirates "cyber-affiliés". "Les cybercriminels louent les services de la plateforme, travaillent en groupe et se partagent la rançon", selon Gérôme Billois, associé cybersécurité du cabinet de conseil Wavestone. Une fois l’attaque réalisée et la rançon payée, la plateforme en question reverse alors 30 à 40% de la somme aux cyberattaquants, précise-t-il. Et puis, une certaine solidarité peut naître parmi les pirates, qui cherchent à développer de nouvelles compétences et de nouveaux réseaux. Comme le décrit l’Anssi, "plusieurs groupes d’attaquants spécialisés dans les rançongiciels créent des partenariats pour partager des conseils, des informations, des codes ou encore des techniques".

La question de payer la rançon se pose pour bon nombre d’entreprises qui, face à une attaque d’ampleur, souhaitent revenir à la normale au plus vite. Et notamment dans les hôpitaux qui doivent à tout prix poursuivre leur activité, en particulier en temps de crise sanitaire. Certaines sociétés payent donc la somme exigée par les pirates, sans pour autant communiquer dessus. "Personne ne veut avoir à expliquer à ses clients ou ses actionnaires qu’il s’est allongé devant un cybercriminel et qu’une partie du patrimoine de données de l’entreprise se trouve probablement dans la nature", avance Frédérique Duflot. Mais payer la rançon ne donne toutefois aucune garantie de se voir délivrer le précieux mot de passe ou encore de sauver les données cryptées. "Si les pirates ont réussi à avoir suffisamment la main sur le système d’information afin de chiffrer les données, ils sont capables d'avoir accès à celles-ci. Rien n'assure qu'ils ne les gardent pas, même une fois la rançon payée", explique Corinne Henin. "En face, on ne sait pas à qui on a affaire", abonde Frédérique Duflot. "On peut comparer avec l’aspect romantique de la mafia qui a un code d’honneur. Ici, on ne connait pas le profil des hackers." 

Si le modus operandi du rançongiciel est de chiffrer des données sans les extraire du système informatique, il se trouve que "de plus en plus de rançongiciels exfiltrent des données de leur victime avant chiffrement", d’après l’Anssi. C'est le cas de ProLock, qui "exfiltre des données via l’outil en ligne de commande Rclone sous forme d’un fichier archive 7ZIP vers des sites de services nuagiques (OneDrive, Google Drive, Mega)". L’autorité demande ainsi aux entreprises victimes de ne pas payer les rançons réclamées par les cyberattaquants. Une recommandation suivie par l’hôpital de Dax, qui ne s’attend pas à un retour à la normale avant plusieurs jours, voire plusieurs semaines.