Accueil Économie Entreprises

Comment les rançonneurs informatiques étranglent les entreprises

Temps de lecture: 25 min

Cette année encore, un nombre important d’institutions publiques et de sociétés belges d’envergure sont tombées dans le piège des ransomwares. Le couteau sous la gorge, certaines ont refusé de payer et ont vu leurs données publiées sur le darknet. D’autres ont préféré payer la rançon, dans la plus grande discrétion.

Un lundi matin d’octobre. Les yeux encore embués de sommeil, une employée de cette entreprise de la région liégeoise tente de consulter son planning à distance. Mais le serveur semble injoignable. Et l’e-mail qu’elle adresse à un collègue refuse obstinément de quitter sa boîte d’envoi. Il vaudrait mieux utiliser le bon vieux téléphone. Sans espoir : la ligne sonne dans le vide.

L’explication va percoler parmi le personnel au fil de la journée. Durant la nuit, l’infrastructure informatique de l’entreprise a été complètement paralysée par un « ransomware », un logiciel malveillant qui crypte toutes les données et rend les services inutilisables. Les cybercriminels proposent à leurs victimes la clé de décryptage en échange d’une rançon proportionnée à la taille ou au chiffre d’affaires de l’entreprise.

Contacté par Le Soir, le porte-parole de l’entreprise affirme qu’aucune rançon n’a été versée, que peu de données ont été perdues car la société disposait de copies de sauvegarde qui ont été restaurées. Il affirme, de plus, qu’aucune donnée sensible concernant les clients ou le personnel n’a été dérobée. Mais un mois après ce braquage informatique, tout n’est pas encore rentré dans l’ordre. Pour preuve, un message sur la page d’accueil du site, prévenant les clients que l’entreprise a rencontré des problèmes d’e-mail et de téléphonie et qu’elle invite ses clients à privilégier le GSM de ses collaborateurs pour les contacter.

Attaquée en septembre, cette société belge n'a pas encore entièrement repris son régime de croisière. Témoin ce message qui s'affichait encore sur sa page d'accueil ce lundi 29 novembre.
Attaquée en septembre, cette société belge n'a pas encore entièrement repris son régime de croisière. Témoin ce message qui s'affichait encore sur sa page d'accueil ce lundi 29 novembre.

Selon des informations que Le Soir a pu consulter sur le darknet, une partie cachée de l’internet à laquelle on accède avec des navigateurs spécifiques, des informations concernant cette entreprise se retrouvent pourtant en ligne. On y propose à la vente des accès à tous les serveurs de l’entreprise, ainsi que la liste des documents qui auraient été exfiltrés. Des milliers de fichiers qui vont de factures et d’états de prestation jusqu’aux contrats signés avec des clients. C’est effectivement une tendance de plus en plus fréquente parmi les gangs de ransomware : non seulement les pirates menacent de mettre les données en ligne lorsqu’une victime refuse de débourser la rançon, mais certains vont jusqu’à pratiquer ce que l’on appelle la « double extorsion ». En l’occurrence, ils vendent aussi les données aux plus offrants sur le darknet, en cas de non-paiement.

Le groupe Everest s'est emparé de pièces du dossier d'instruction de l'attentat perpétré contre Charlie Hebdo le 7 janvier 2015. Un des hackers au moins aurait été arrêté en novembre.
Le groupe Everest s'est emparé de pièces du dossier d'instruction de l'attentat perpétré contre Charlie Hebdo le 7 janvier 2015. Un des hackers au moins aurait été arrêté en novembre.

Un véritable business

Le Soir a visité une quinzaine de ces sites de demandes de rançons, il ne s’agit pas de pages web bidouillées à la hâte mais de véritables vitrines commerciales : « La plupart des groupes de ransomwares sont organisés comme des entreprises, ils mènent plusieurs attaques de front », intervient Julien Pélabère, expert en négociations en fondateur de l’institut Nera, en France. Ces professionnels du piratage informatique et du rançonnement partagent néanmoins un modèle économique semblable : lorsque le crypto-virus a infecté les ordinateurs et serveurs de son hôte, le contenu de ceux-ci est crypté et donc mis hors de portée de ses utilisateurs légitimes. Ceux-ci font alors la connaissance de leur attaquant, le plus souvent par e-mail ou par le biais d’un message explicite – un fichier texte ou une page web non cryptée laissé à portée de vue. De quoi entamer un dialogue avec les ravisseurs, via une messagerie cryptée ou une fenêtre de discussion. Pour prouver qu’ils ne bluffent pas, les négociateurs du cartel offrent généralement à leur malheureux interlocuteur la possibilité de décrypter un échantillon des données dont il est désormais privé. Vient ensuite le temps des négociations. Ou pas : certaines victimes choisissent, par principe ou par incapacité financière, de ne pas céder au chantage et de restaurer elles-mêmes leur infrastructure informatique. Le Soir a contacté par courriel neuf cartels de ransomware, aucun n’a répondu à nos sollicitations.

Résultat : bien que, le plus souvent, elles le nient dans toutes les langues, nombreuses sont les entreprises et institutions qui préfèrent payer la rançon, malgré les recommandations pressantes de ne le faire sous aucun prétexte. Car d’Europol à la Computer Crime Unit de la police fédérale (CCU) en passant par le Centre belge pour la cybercriminalité, le message qui est martelé est très clair : pas d’argent pour la mafia.

La rançon liégeoise

Autrement dit, l’absence de traces sur le darknet de données d’une entreprise qui a été attaquée ne peut souvent signifier que deux choses : soit elle a payé la rançon, soit ses données ont déjà été vendues à un tiers. Une question que l’on peut légitimement se poser au sujet d’un autre cas liégeois, celui de la Ville de Liège.

Le lundi 21 juin au matin, lorsque les employés communaux ont pris le travail, les 1.800 PC de la quatrième ville la plus importante du pays ont multiplié les signes de faiblesse, entraînant très vite la paralysie de quasiment tous ses services. Le coupable fut rapidement identifié : Ryuk, un ransomware découvert en 2018, notamment impliqué dans l’attaque d’infrastructures critiques aux Etats-Unis. Capable de réveiller les postes inactifs sur le réseau – l’attaque liégeoise a eu lieu lors du week-end – et de se répliquer de manière autonome, il se signale à ses victimes par des messages explicatifs autant que péremptoires laissés « en clair » sur les disques durs qui ont été cryptés. La compagnie Ethias, qui assure la Ville contre les risques d’attaque informatique, l’a mise en contact avec la firme néerlandaise de cybersécurité Northwave. « Leur aide nous a été très précieuse, de même que celle des experts de Microsoft », explique le directeur général de la Ville, Philippe Rousselle.

Très vite et autant que faire se pouvait, la Ville s’est organisée, a paré au plus pressé, s’appuyant notamment sur ses mairies de quartier et un personnel plein de bonne volonté. « L’essentiel a été restauré en un ou deux mois », se félicite Philippe Rousselle. Qui évalue les dommages à « environ un million d’euros, dont la moitié a été prise en charge par notre assureur ».

Selon les informations du Soir, une rançon a été versée aux attaquants, ceux-ci ont livré les clefs de décryptage. Le groupe à l’origine de l’attaque ne laisse en effet planer aucun doute quant à sa résolution, rappelant que lorsque les sommes réclamées ne lui ont pas été versées, les données piratées sont vendues au plus offrant ou offertes en libre téléchargement. Geert Baudewijns, CEO de la société de cybersécurité Secutec, dit savoir d’expérience que ces menaces sont mises à exécution. « Je peux vous confirmer une chose, c’est que si on ne paie pas chez Conti/Ryuk (dans le milieu de la cybersécurité, l’organisation de ransomware Conti est reconnue comme la même que celle qui se cache sous le nom de Ryuk, NDLR), on est publié », assure-t-il.

Une diffusion à tout vent que ne pouvait se permettre la Ville. Selon des témoignages concordants recueillis par Le Soir, une facture d'un peu plus d'un million d'euros a été réglée par la ville et par l’assureur au consultant. Ce dernier a ensuite versé une partie de ce montant en bitcoins au rançonneur. La négociation a permis de diminuer très fortement le montant de la rançon, d'autant plus que le cours du bitcoin était très bas durant l'été (1). Interrogés, Ethias et Northwave n’ont pas donné suite. Le bourgmestre, Willy Demeyer, n’a pas souhaité s’exprimer sur l’éventuel paiement d’une somme d’argent. En tout état de cause, une plainte a été déposée auprès de la police fédérale, une information judiciaire a été ouverte. « Une dizaine de dossiers de ce type ont été ouverts dans l’arrondissement », précise le procureur liégeois, Philippe Dulieu.

Diffusion de données sensibles

En revanche, refuser de payer la rançon – celle-ci est toujours exigée en crypto-monnaie – peut avoir des conséquences dramatiques. Témoin, cette société immobilière bruxelloise attaquée durant l’été par AvosLocker, un ransomware apparu au début de cet été. Contacté par Le Soir, son gestionnaire informatique reconnaît s’être fait piéger. Il s’agirait même de la deuxième attaque subie par l’entreprise.

Le groupe AvosLocker met son ransomware, Avos2, à la disposition d'affiliés qui auraient accès à des infrastructures informatique, leur proposant notamment une assistance lors des négociations et des serveurs pour le stockage des données piratées.
Le groupe AvosLocker met son ransomware, Avos2, à la disposition d'affiliés qui auraient accès à des infrastructures informatique, leur proposant notamment une assistance lors des négociations et des serveurs pour le stockage des données piratées.

« Payer une rançon ? C’est hors de question » affirment cependant en chœur service informatique et direction de l’entreprise. Quant à l’exfiltration possible de données, ils disent tout en ignorer. « Il n’y avait rien sur nos serveurs qu’il serait dangereux de laisser traîner en ligne. » Avant d’ajouter, non sans une étonnante insouciance : « Nous n’avons d’ailleurs pas jugé utile d’effectuer des recherches pour nous en assurer. » Mais selon des documents découverts par Le Soir, des données de l’immobilière sont bien présentes en ligne. Parmi celles-ci, des listes de mots de passe, des factures, des listings destinés à la comptabilité (2). C’est le sort réservé aux « mauvais payeurs », histoire de mettre une pression maximale sur les autres victimes.

Les hôpitaux, des cibles de choix

Les attaques sont souvent aveugles et même le secteur des soins de santé n’est pas épargné. Si quelques organisations criminelles comme AtomSilo préviennent sur leur plateforme qu’elles ne s’attaquent pas aux hôpitaux ou aux infrastructures critiques – celle-ci prétend même assurer un décryptage gratuit aux victimes de ce type ayant été frappées à l’aide de son logiciel –, la plupart ne s’attardent pas sur de telles considérations. Au contraire, le contexte de la crise sanitaire a plutôt offert un climat plus que favorable pour viser ces cibles, dont l’organisation était déjà suffisamment mise à mal. Plusieurs hôpitaux belges en ont fait la sinistre expérience. Rien que cette année, la Heilige Hartziekenhuis de Mol, la Clinique Saint-Luc de Bouge ou encore la clinique André Renard de Herstal (laquelle avait déjà été visée en 2019) ont été mises à terre durant plusieurs jours par des attaques.

Le groupe Atomsilo affirme sur son site ne pas attaquer les hôpitaux, les écoles et autres structures indispensables. Un déchiffreur gratuit, développé par l'éditeur d'anti-virus Avast, est cependant disponible depuis la fin du mois d'octobre.
Le groupe Atomsilo affirme sur son site ne pas attaquer les hôpitaux, les écoles et autres structures indispensables. Un déchiffreur gratuit, développé par l'éditeur d'anti-virus Avast, est cependant disponible depuis la fin du mois d'octobre.

Mais le Centre hospitalier de Wallonie picarde (Chwapi) de Tournai est, avec ses 2.700 collaborateurs, la plus importante cible hospitalière connue à ce jour en Belgique. Une attaque y a été lancée le soir du 17 janvier 2021, à une heure où les effectifs étaient très limités. Preuve que les assaillants ne laissent rien au hasard. « Notre personnel de garde a reçu un appel, en l’occurrence pour un dysfonctionnement sur l’imagerie médicale. Un appel, deux appels, dix appels, 20 appels. Rapidement il y a eu un emballement, », se souvient Jacques Godart, directeur informatique du Chwapi.

Ce soir-là, il décide de faire débrancher manuellement les serveurs pour sauver ce qui peut l’être – un peu moins d’un tiers des systèmes finiront malgré tout compromis. Le réseau informatique du Chwapi plonge dans le noir et, avec lui, c’est toute la chaîne médicale qui flanche. « On a dû prendre la décision d’activer notre Plan d’urgence hospitalier, ce qui a eu un impact direct sur le service d’hospitalisation. Dès cet instant, le trafic des ambulances a été dévié vers d’autres hôpitaux, et on est passé en service minimum. »

Dès le lundi, des opérations « non urgentes » sont postposées. Dans la tornade, tout ne s’est heureusement pas envolé : les serveurs contenant les données des patients n’auraient pas été compromis, assure la direction.

Débrouille à l’heure du covid

Des informations importantes ont-elles néanmoins été exfiltrées depuis les serveurs de l’hôpital ? Jacques Godard affirme que des fichiers dans lesquels se trouvait la demande rançon n’ont été découverts que quelques jours plus tard sur les systèmes endommagés, une fois passé l’orage. Dans l’intervalle, « notre politique a très vite été de se dire que l’on avait la capacité de remettre en place nos systèmes sans entrer en conversation avec les personnes qui nous avaient fait du mal », poursuit-il.

Mais le prix à payer pour s’abstenir de renflouer le portefeuille des rançonneurs est lourd. Si les premières applications médicales mises à terre ont été restaurées après quelques jours, les services administratifs ont dû travailler « à l’ancienne » durant plusieurs mois. « On est resté sans connexion internet jusqu’avril », continue le directeur informatique. « C’est énorme, alors que l’hôpital est un système complètement dépendant des communications avec le reste du monde. On utilisait la 4G et des clés USB. On était en période covid et on devait envoyer de cette manière des éléments de tests à l’établissement d’analyse à Charleroi. » Près d’un an après les faits, la situation esquisse un retour à la normale – quelques programmes moins importants n’ayant pas encore été restaurés. Des investissements en matière de cybersécurité ont par contre été consentis entre-temps.

Des assurances sur-mesure

Ce n’est que depuis 2016 que les statistiques fédérales répertorient spécifiquement les plaintes déposées pour « attaque au ransomware ». De 239 faits rapportés à la police en 2017, ces chiffres n’ont fait que décroître linéairement pour atteindre les 124 occurrences en 2020 – une courbe qui sera sans doute brisée en 2021, alors qu’au premier trimestre de l’année, on comptabilise déjà 43 faits. Une tendance paradoxale, là où les cas « lourds » semblent n’avoir jamais autant fait les gros titres que cette année. « Les chiffres en question ne sont pas le reflet de la réalité », note à ce titre Olivier Bogaert, de la FCCU. « Parce qu’il y a énormément de structures qui ne déposent pas plainte ou ne le signalent pas », surtout lorsqu’elles décident de payer. Autrement dit, ce qu’on appelle le « chiffre noir » seraient nettement supérieur.

Plus généralement, les plaintes pour des actes de criminalité informatique ont, pour leur part, explosé en dix ans : les chiffres de la police fédérale font état d’un bond de 150 % entre 2011 et 2020.

De quoi pousser les assureurs à s’adapter. Axa, par exemple, a créé une offre sur-mesure pour les très petites entreprises, les indépendants et les professions libérales. « Mais notre politique est, le cas échéant, de ne pas intervenir dans le paiement d’une rançon », intervient Pierre-Alexandre David, expert produits. « Pour plusieurs raisons, notamment parce que ce paiement ne garantit pas que les données seront décryptées ou ne seront plus attaquées par la suite. Pour des raisons éthiques aussi : nous ne savons pas où va cet argent, nous ne voulons pas financer des activités criminelles. »

Bâloise Insurance, par contre, peut intervenir dans le paiement de cette rançon, mais le montant est plafonné à 25.000 euros. « Nous voulons aider notre client dans une telle situation mais nous avons imposé cette limite pour ne pas supporter des économies criminelles », précise Bert Vander Elst, au service commercial.

Chez Zürich Insurance, Lennard Wit, responsable des contrats cyber, explique que si cette compagnie suisse « ne paye pas de rançon au nom du client », elle peut par contre procéder à un remboursement de ce qui a dû être payé, « sur une base sélective et selon les conditions générales de la police, à condition bien sûr qu’un tel remboursement soit autorisé par la loi. »

Reste, conclut l’Union professionnelle des entreprises d’assurance, qu’il n’est pas possible de développer une radiographie belge de ce secteur « cyber » : « L’existence de la souscription de tels contrats est confidentielle », explique le porte-parole d’Assuralia, Nevert Degirmenci. « Une entreprise n’a pas intérêt à communiquer la souscription d’une telle assurance et encore moins le plafond assuré. »

(1) Ce passage du texte a été édité lundi en fin de journée afin de prendre en compte de nouveaux éléments précisant les modalités du paiement de la rançon.

(2)  Le Soir a alerté l’entreprise plusieurs jours avant la publication de ce dossier, en lui recommandant de changer tous ses mots de passe si ce n’était déjà fait.
Chapitre

Pour la police, une hydre difficile à chasser

Malgré le manque de moyens, la police belge multiplie les enquêtes. Sous la coordination d’Europol, des coups de filets ont été réussis ces deux derniers mois.

Enquêter sur les ransomwares reste un boulot complexe. Policier à la Computer Crime Unit régionale (RCCU) de la police judiciaire liégeoise, Christophe Axen fait partie de ces enquêteurs belges qui se rendent régulièrement sur des scènes de cybercrime. Sa mission : tenter d’identifier par quel accès, par quel outil, par quelle structure les criminels sont passés. « Ça ne marche pas toujours », concède-t-il, « Ça reste un domaine assez récent, où les enquêteurs doivent aussi se mettre à jour. » D’autant que les effectifs spécialisés sont limités. Il faut souvent se concentrer sur les cas les plus lourds. « Globalement, quand ce sont des petites entreprises, on s’investit assez peu, soit parce qu’il n’y a pas de préjudice important, soit parce que ça ne nous est pas signalé. »

Sur les scènes de crime, la collaboration entre la police, les victimes et les sociétés informatiques qui leur proposent de l’assistance ne va pas toujours de soi. Les intérêts des uns et des autres étant souvent contradictoires. « Les victimes ne veulent pas forcément qu’on identifie les auteurs et qu’on les poursuive, elles veulent récupérer les données le plus vite possible », pointe Christophe Axen.

Récents coups de filets

Face à une menace invisible, décentralisée et globalisée, le travail d’enquête ne mène que rarement à des personnes en chair et en os. En octobre et en novembre, Europol, l’agence européenne de police criminelle, a néanmoins communiqué à trois reprises sur des arrestations menées sous sa coordination en Ukraine, en Suisse et en Roumanie. Parmi les criminels attrapés, des membres (de différents échelons) d’un groupe travaillant notamment sous le nom de Lockergoga, à l’origine d’une des attaques les plus violentes à avoir frappé l’Europe – celle du géant norvégien de l’aluminium Norsk Hydro, en 2019.

Qu’a appris Europol de ces opérations ? « Elles montrent que l’on est vraiment passé au Ransomware-as-a-Service, c’est un business model très bien établi, avec différents types d’acteurs qui utilisent des voies de communication différentes, avec des structures dans différentes juridictions », note Philipp Amann, directeur stratégique de l’EC3, département d’Europol en charge de la cybercriminalité. « Tout cela rend difficile l’accès à leurs infrastructures, qui sont cryptées, et implique de la collaboration internationale et le fait de travailler avec l’industrie et la recherche, pour trouver des moyens de “suivre l’argent”. On voit aussi des criminels qui s’adaptent et changent constamment leur modus operandi. »

Convergence des criminalités

Europol observe aussi un basculement de la criminalité « classique » vers cette nouvelle forme de criminalité, plus « sûre ». Certaines des arrestations récentes témoignant du fait que le cliché du hacker adolescent exerçant depuis sa cave est en passe de devenir un souvenir. « Par le passé, l’organisation des groupes cybercriminels était assez différente de celle d’autres groupes criminels. Mais on voit maintenant une convergence vers le cyberespace. » Le milieu du ransomware n’étant plus à l’abri des effusions de violence, selon Philipp Amann. « Dans le cadre d’une opération récente, l’une des cibles a par exemple tiré vers les unités de police avec un AK47. »

En revanche, Europol estime qu’un grand nombre d’attaques sont bien moins sophistiquées que ne l’imaginent leurs victimes. « Les bonnes vieilles méthodes d’ingénierie sociale, d’utilisation très rapide des vulnérabilités des serveurs dès qu’elles sont connues ou la recherche systématique de serveurs qui n’ont pas été mis à jour fonctionnent toujours très bien. »
Chapitre

Des négociateurs en prise directe avec les rançonneurs

Il n’est pas rare que des sociétés de cybersécurité acceptent de négocier directement avec les hackers une diminution du montant de la rançon réclamée pour le compte de leurs clients. Si elle permet parfois de réduire sensiblement la casse pour les victimes, la démarche n’est pas sans risque.

De nombreuses sociétés actives dans le domaine de la cybersécurité ont fait de l’appui technique aux victimes de ransomwares leur spécialité. Parmi elles, certaines offrent un service de négociation sur mesure aux « rançonnés ». Après une attaque, les hackers laissent effectivement un moyen de les contacter. De quoi ouvrir une fenêtre de discussion. Des échanges peuvent alors s’engager pour tenter de faire baisser les enchères. Les négociateurs interrogés par Le Soir assurent dans certains cas être parvenus à diminuer par dix, voire par quinze, les montants initialement réclamés.

Geert Baudewijns est le patron de Secutec, une société « cyber » belge ayant pignon sur rue – elle décrochait en mars un juteux contrat avec le Centre de cybersécurité de Belgique (CCB). Il revendique 221 négociations à son actif, « toutes réussies », dont une cinquantaine pour des clients belges. Des marathons qu’il dit enchaîner à un rythme de plus en plus effréné. « Dans mon cas, je fais en moyenne entre deux à quatre négociations par semaine. En 2019 et 2020, j’en avais une ou deux tous les mois. Ça a véritablement explosé », dit-il.

Garder la tête froide

En la matière, chacun y va de sa méthode. « Je prends d’abord 48 heures pour voir comment les attaquants sont entrés, ce genre de choses. Puis je prends contact avec d’autres négociateurs, un peu partout dans le monde. Je leur demande qui est en train de négocier avec la même “famille” que moi et là, je mets le dossier dans la boucle » explique Geert Baudewijns. En mettant en relation ces différents « cas », les négociateurs peuvent ajouter un peu de pression sur les pirates. Car si après le versement d’une rançon par un client, il s’avère qu’un gang ne livre pas de clé de décryptage, l’information aura vite fait de circuler et de décrédibiliser l’organisation criminelle. Et les autres victimes seront alors nettement moins enclines à payer.

Créateur belge de la société de cybersécurité Lupovis, basée en Ecosse, Xavier Bellekens a lui aussi déjà plusieurs négociations à son actif. « La première chose, c’est de garder la tête froide. Le criminel joue sur le fait que le client vient de se rendre compte qu’il a perdu ses donnée », préconise-t-il. « Il faut donc essayer de diminuer l’importance de l’attaque pour la société. » Laisser entendre que l’entreprise dispose de peu de moyens est aussi un levier à utiliser.

Double discours des pirates

Toutefois, même en cas d’acceptation de l’offre, la clé de décryptage peut ne jamais arriver. « Nous avons également eu des situations où la rançon est payée, puis l’acteur ou le groupe à l’origine de la menace révèle que ce montant ne valait que pour une des clefs de décryptage et que l’entreprise doit donc encore payer pour recouvrer un accès complet à ses données » poursuit Bryce Webster-Jacobsen, directeur des opérations de renseignement chez GroupSense (USA).

La méthode, qui pousse à jouer le jeu des criminels, est aussi controversée. Tous les négociateurs interrogés en conviennent : payer doit rester un ultime recours. « Mais le choix n’est pas si évident lorsque vous avez des factures à honorer, du personnel à payer et que la survie de votre entreprise en dépend », nuance Julien Pélabère, expert en négociations complexes et fondateur du groupe Nera (France).
Chapitre

Eddy Willems, victime d’un ransomware en 1989

Il y a plus de 30 ans, ce spécialiste belge en cybersécurité a reçu une disquette qui a crypté tout le contenu de son ordinateur. Le virus AIDS/PC Cyborg fut vraisemblablement le premier ransomware de l’histoire. Il a aussi changé la vie d’Eddy Willems.

C’était au début du mois de décembre 1989, se souvient Eddy Willems. Il travaillait alors comme « analyste systèmes » pour « La Patriotique », une compagnie d’assurances aujourd’hui dans le giron d’ING. « Mon chef de service est venu me trouver en me demandant de jeter un coup d’œil au contenu d’une disquette informatique qu’on venait de recevoir en prévision d’une conférence de l’Organisation mondiale de la santé consacrée au sida, qui devait avoir lieu un peu plus tard à Stockholm. »

Quelques jours plus tard – « C’était un mercredi, je m’en souviens très bien » –, Eddy Willems glisse la disquette de cinq pouces un quart dans le lecteur de son ordinateur, la réaction de ce dernier ne fut pas celle escomptée : « Mon écran s’est figé, il a affiché un message expliquant que le contenu de mon disque dur avait été crypté et que si je voulais le décrypter, je devais envoyer 189 dollars à une boîte postale du Panama au nom de PC Cyborg Corporation (…) J’ai d’abord crû à un bug puis j’ai compris que c’était tout autre chose – il faut savoir qu’à l’époque, les ransomwares n’existaient pas, personne n’avait jamais vu ça. »

Décryptage éclair

Quelques dizaines de minutes suffiront néanmoins au jeune informaticien – il avait alors 27 ans – pour démanteler le virus et recouvrer toutes ses données. Des minutes qui ont changé le cours de sa vie. « Quelques jours plus tard, je regardais les informations sur la chaîne VTM, qui avait été lancée quelques mois plus tôt, lorsqu’il y a eu un sujet sur ce virus. Des tas d’ordinateurs avaient été infectés un peu partout dans le monde, les dégâts étaient considérables. J’ai appelé la chaîne pour dire qu’une solution existait, que ce virus pouvait être décrypté. Les journalistes sont tout de suite venus à la maison et là, c’était parti… » Conférences, rencontre avec des experts, articles dans la presse, changement de carrière, cofondation de Eicar (European Institute for Computer Anti-Virus Research) : « Ma vie a été chamboulée, je me considère aujourd’hui comme un évangéliste de la sécurité informatique et je travaille pour G Data CyberDefense, une société allemande qui, en 1987, a développé le premier logiciel antivirus. »

Vingt mille disquettes

L’histoire de géniteur de AIDS/PC Cyborg, le premier crypto-virus de l’histoire, est tout aussi invraisemblable : le 2 février 1990, un biologiste américain, Joseph Popp Jr, suscite par son comportement agité la curiosité des douaniers de l’aéroport de Schiphol, aux Pays-Bas. De ses bagages, les agents extirpent un tampon gravé au nom de PC Cyborg, la société panaméenne créée pour collecter l’argent des rançons. Quelque temps plus tard, Jim Bates, un consultant en informatique sollicité par Scotland Yard pour travailler sur ce virus, dissipe tout doute quant à la paternité de celui-ci en découvrant que la clef de chiffrement et de déchiffrement (la suite de caractère qui permet de crypter et décrypter les données de l’ordinateur infecté) est « Dr Joseph Lewis Andrew Popp Jr. III ». La culpabilité du biologiste américain ne fait alors plus aucun doute. Il est rapatrié aux Etats-Unis, inculpé mais sans être condamné, les juges ayant estimé qu’il souffrait de troubles mentaux. Il est décédé en 2007.

« Mais ses motivations restent obscures », reprend la plus fameuse de ses victimes, Eddy Willems. « On ne sait pas combien de temps ça lui a pris pour créer ce virus, ni ce que ce que ça lui a coûté. Imaginez : Popp a acheté 20.000 disquettes, il y a dupliqué le virus puis les a envoyées à tous les abonnés – après avoir mis la main sur leur mailing list – d’un magazine informatique ainsi qu’à des laboratoires et des organisations actifs dans la recherche médicale. » Personne n’a jamais su, cependant, combien de machines avaient été effectivement été infectées par la création de Joseph Popp.

Un musée a offert 1.000 dollars à Eddy Willems afin qu’il leur cède la disquette en sa possession, il a refusé : elle garnit depuis trente ans un des murs de son salon. « Comprenez, c’est le premier ransomware qui a jamais été créé et à ma connaissance, c’est la seule version originale qui subsiste… »
Chapitre

Ransomware: comment limiter les risques

Si la protection absolue est illusoire, quelques réflexes de bon sens permettent aux particuliers comme aux entreprises d’éviter au maximum de se faire piéger.

Si les gangs de ransomware se sont professionnalisés avec le temps, les techniques qu’ils mettent en œuvre sont la plupart du temps des recettes éprouvées et qui s’appuient à la fois sur l’ingénierie sociale (convaincre une personne de faire ingénument une action dangereuse, tel que cliquer sur un lien d’apparence anodine) et l’utilisation de faiblesses de l’entreprise attaquée due à des infrastructures insuffisamment blindées.

Le cert.be, une organisation qui dépend du Centre belge pour la cybersécurité a publié un document en accès libre consacré au ransomware.

L’antivirus ne suffit plus

S’il reste indispensable sur l’ordinateur, le logiciel antivirus n’est plus une protection suffisante contre les attaques par ransomware, comme l’explique Safeonweb, un site mis en ligne par le cert.be et destiné à vulgariser les problèmes de sécurité informatique. Il conseille plusieurs outils de protection (payants) qui viennent compléter le travail accompli par l’antivirus. Le site NoMoreRansom d’Europol et de la police néerlandaise met à disposition des outils pour se débarrasser de certains types de ransomware et tenter de récupérer ses données.

Il est également important de protéger son ordinateur et ses comptes (courrier électronique, réseaux sociaux…) par des mots de passe robustes.

Faire des copies de sauvegarde

Que l’on stocke sur son ordinateur personnel des milliers de précieuses photos ou que l’on soit une entreprise traitant des quantités astronomiques de données, le constat est identique : si l’on ne dispose pas de copies de sauvegarde réalisées avec soin, conservées à des endroits différents et capables d’être correctement restaurées en cas de besoin, on peut tout perdre en quelques secondes en cas d’attaque.

Et si ces copies de sauvegarde se trouvent sur une clé USB ou un disque dur connectés en permanence ou à un service en ligne auquel l’ordinateur ou le serveur se connectent de manière automatique, il est probable qu’elles seront, elles aussi, rendues inutilisables par le ransomware. Autrement dit, l’un au moins de vos backups doit être conservé hors ligne pour éviter que le logiciel malveillant ne tire parti d’une synchronisation.

Appliquer les mises à jour de sécurité

Des logiciels comme l’omniprésent serveur Exchange de Microsoft, sur lequel un grand nombre d’entreprises se reposent pour leur messagerie et leurs applications partagées, impose aux administrateurs du réseau l’application très régulière de correctifs de sécurité, destinés à supprimer des vulnérabilités dans leur code informatique. Mais manque de réactivité ou ignorance de leurs gestionnaires, nombre de ces serveurs présentent de dangereuses vulnérabilités.

De plus, le contexte de la pandémie a forcé de nombreuses entreprises à mettre en place pour leurs employés en télétravail forcé, l’accès à distance à leur réseau. Et souvent, par manque de maîtrise technique ou par volonté de s’en tirer au moindre coût, elles ont mal évalué les risques liés à ces logiciels, ouvrant un boulevard aux cybercriminels.

Pour les particuliers, il est recommandé d’appliquer dès que possible les mises à jour proposées par leur système d’exploitation, leur navigateur web et leur antivirus.

Appliquer ces quelques règles élémentaires n’offre évidemment pas une garantie de totale sécurité. Mais elles limiteront les risques. En cas d’attaque, il est recommandé de s’adresser à la Computer Crime Unit de la police fédérale et de signaler rapidement l’incident.

Le fil info

La Une Tous

Voir tout le Fil info

1 Commentaire

  • Posté par Bljakaj Dukagjin, mercredi 1 décembre 2021, 14:44

    Chiffrer et non crypter :)

Aussi en Entreprises

 Voir plus d'articles