Sécurité

Les rançons : de la folie au modèle économique

Bien qu’ils aient été présentés au public de manière plus générale vers 2017, quand en quelques jours WannaCry a atteint le NHS, le système de santé publique anglais, le siège de Telefónica en Espagne et d’autres cibles diverses, les ransomware ne sont pas exactement nouveaux.

L’idée de crypter les fichiers sur une machine et de demander ensuite une rançon pour donner la clé qui inverse le processus vient de derrière, en 1989, lorsque Joseph Popp a créé le « cheval de Troie du SIDA », qui se trouvait sur une disquette censée apporter des informations sur la maladie, mais qui a infecté le fichier autoexec.bat des PC (le premier fichier à fonctionner en temps DOS).

Trojan du SIDA, le premier logiciel de rançon

Le malware a causé la 90ème fois que l’ordinateur a été démarré après l’infection, il a exécuté une routine qui cachait des fichiers et des répertoires, en cryptant leurs noms, puis en disant que la licence d’un logiciel appelé PC Cyborg avait expiré et qu’un paiement de 189 € devait être envoyé à une boîte aux lettres au Panama avec une disquette, qui serait utilisée pour envoyer une nouvelle licence.

Il est évident que cette action n’a pas été très fructueuse. Popp, qui était un biologiste évolutionniste formateur à Harvard et lié à plusieurs institutions médicales, a été arrêté en 1989 en Angleterre et considéré comme mentalement incapable de faire face à un procès. Il a finalement été extradé vers les États-Unis, où il a vécu dans l’isolement.

Clarté et déterminisme technologique

Après le « Trojan du SIDA », nous avons connu une interruption de plus de quinze ans. Ce n’est qu’en 2005 qu’un autre ramsonware est apparu, agissant cette fois de manière plus agressive et chiffrant les données, pas seulement les noms. Mais même à cette époque, il était encore difficile pour l' »acteur » d’avoir accès à des informations. (cybercriminel) pour en tirer profit : la piste de l’argent n’est pas quelque chose de facile à effacer, disent les millions de euros que Pablo Escobar a enterrés dans toute la Colombie.

Ce n’est qu’en 2013 que les sauvetages en Bitcoin ont commencé à être adoptés. Et en 2017, le tristement célèbre succès est arrivé. En fait, une curiosité est que WannaCry a vu son pouvoir de dévastation atténué par un hacker britannique nommé Marcus Hutchins, qui a découvert que le malware essayait de contacter un site distant, dont le domaine avait expiré et n’avait pas été renouvelé. Hutchins a enregistré le domaine et a créé une réponse qui a empêché le malware d’agir, évitant ainsi un scénario dévastateur.

L’explosion des logiciels de rançon et la promotion de la cybercriminalité

Principalement aux États-Unis, des entreprises et des entités de différents niveaux de gouvernement ont commencé à se protéger contre les logiciels malveillants, ce qui a fini par créer une nouvelle branche d’activité dans le monde souterrain, la ?Malware As A Service ? Dans cette version tordue des startups, les acteurs créent des logiciels malveillants et distribuent aux affiliés des versions personnalisées avec des codes d’identification afin qu’ils infectent les victimes institutionnelles. Les affiliés tenteront alors de victimiser le plus grand nombre de personnes possible. Chaque fois que la start-up reçoit une rançon, elle est en mesure d’identifier la source et de payer la part du membre, qui varie entre 60 et 70 %.

Les États-Unis demandent à Apple de créer un espace pour accéder aux fichiers protégés sur les iPhones

En réalité, cette assurance signifie que ces entités ne prennent plus les mesures préventives nécessaires au bon stockage des données. À la mi-2019, pas mal d’écoles américaines ont eu des problèmes à la fin de leurs vacances de milieu d’année, et leurs infrastructures ont été complètement compromises.

Mais cela va plus loin : l’assurance qui est versée aux cybercriminels favorise en fin de compte le crime lui-même. Aujourd’hui, nous avons des cryptomorphes qui ne peuvent pas être tracés – contrairement à la croyance populaire, les bitcoins sont traçables – ce qui rend le transfert de ressources financières très facile. Il n’est pas étonnant qu’en 2021, la cybercriminalité devrait dépasser les revenus du trafic international de drogue, devenant ainsi la première activité criminelle au monde.

Approfondissement des invasions, GDPR, CCPA, LGPD et autres

Ajoutez à cela la méthode d’action qui s’est développée ces dernières années, dans laquelle les envahisseurs n’agissent pas immédiatement, mais restent pendant de longues périodes à rechercher le réseau interne de leurs victimes : dans un cas au moins, un acteur a opéré pendant quatre ans dans l’infrastructure d’un réseau hôtelier, avant de voler les données de 500 millions de clients. En d’autres termes, la technologie et la manière dont les attaques sont perpétrées sont de plus en plus sophistiquées.

Certains acteurs sont allés au-delà du simple cryptage des données. Depuis novembre 2019, ils ajoutent l’extorsion au détournement de données. Vous voyez, toute entreprise ayant un minimum de conscience de la cybersécurité travaille avec au moins une sauvegarde de ses données. Ainsi, dans certains cas, l’entreprise peut se permettre d’avoir minimisé les dommages en récupérant une sauvegarde.

Un ver suspecté sur Twitter en utilisant le lien Goo.gl

Les acteurs menacent maintenant d’exposer au public les données sensibles de l’entreprise. En fait, dans au moins deux cas que je connais, des groupes ont communiqué de nombreuses informations de certaines entreprises à ceux qui voulaient les télécharger.

Si l’on place cela dans la perspective des lois sur la protection des données, qui pourraient constituer un cas grave de perte de secrets d’affaires, cela devient également une violation encore plus grave de ces lois. Et pas seulement dans le cas des entreprises opérant en ligne : la première entreprise européenne à avoir été condamnée à une amende pour violation de la GDPR était un hôpital, dont les mesures de protection des données des patients ont été jugées insuffisantes par l’autorité néerlandaise de protection des données.

Ici, la LGPD n’est pas encore entrée en vigueur. Cela devrait se produire le 15 août 2020, si elle n’est pas reportée, mais sa force à un moment donné est inévitable, notamment parce que le CSP 17/2019 veut faire du droit à la protection des données un droit fondamental et, à un moment donné, ce type de conformité sera nécessaire pour faire des affaires avec l’Union européenne. Et elle, LGPD, est assortie de lourdes amendes.

Contrairement à la plupart des pays du monde, qui ont à l’origine de la plupart de leurs attaques des acteurs étrangers, en France au moins 60% de la cybercriminalité est commise par des acteurs nationaux.

La cybersécurité n’a jamais été un luxe, mais elle tend maintenant à devenir une question de survie des entreprises.

A propos de l'auteur

Ronan

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire