Le rançongiciel n'épargne plus aucune entreprise en 2020. Ivan Kwiatkowski, chercheur au sein de l'équipe GReAT de Kaspersky et Tanguy de Coatpont, Directeur général de la filiale française, nous expliquent pourquoi le logiciel de rançon est devenu aussi incontournable qu'imparable.
Le ransomware, c'est désormais la principale crainte de toute entreprise en matière de cybercriminalité. Au fil des années, la menace a su évoluer et s'adapter, les attaquants également, au profil des victimes. Si le contexte pandémique n'a pas de conséquence en termes de volume, il est tout de même un formidable catalyseur pour les pirates informatiques, qui jouent plus que jamais sur le ressort psychologique et de la santé, pour le moins anxiogène, pour piéger leurs cibles. Pour en parler, et voir comment il est malgré tout possible de se protéger contre ces attaques, nous avons rencontré Ivan Kwiatkowski, chercheur au sein de l'équipe GReAT de Kaspersky et Tanguy de Coatpont, Directeur général de l'entreprise pour la France, lors des Assises de la sécurité, à Monaco. Interview.
PARTIE 1 : Le ransomware, tendance majeure du monde cybercriminel
Clubic : On va d'abord parler de ransomware, qui apparaît comme étant LA tendance de ces Assises de la sécurité et de la cybersécurité en général cette année. Mais pourquoi parle-t-on justement autant de ransomware ?
Tanguy de Coatpont (TdC) : C'est le sujet qui est dans tous les esprits. Il y a beaucoup d'attaques ciblées, qui ont fait beaucoup de bruit et de dégâts.
Ivan Kwiatkowski (IK), aka Justice Rage : Pour moi, c'est lié à une transformation de cette menace, qui pendant un certain temps, touchait avant tout des particuliers pour de modiques sommes, et qui aujourd'hui frappe des entreprises avec des rançons qui atteignent des millions de dollars. L'impact économique est fort et oblige les entreprises à s'adapter et à réagir.
On a noté, sur cette année 2020, une explosion des ransomwares. Peut-on la justifier par la crise du coronavirus ?
TdC : De notre point de vue, non. En fait, les attaques ont même diminué en nombre, mais elles sont beaucoup plus ciblées. La pandémie a servi à être plus pertinent dans les attaques.
« Face au chantage, une entreprise ne peut plus nier qu'il y a un incident »
IK : En termes de volume, l'impact de la Covid n'a pas influé. Ce n'est pas parce qu'on est confinés ou que des entreprises se mettent en chômage partiel que tout à coup les attaquants se multiplient. Comme dans chaque crise économique et politique, le prétexte du virus se retrouve utilisé par les attaquants pour fabriquer des pièges qui auront plus de chances de toucher leurs victimes, du fait de l'inquiétude générale dans la population.
Comment réagissent les entreprises aujourd'hui globalement face à un rançongiciel ? La panique prédomine-t-elle ? Le secret ?
TdC : Le secret, je crois que c'est fini. Les attaquants ont changé leur fusil d'épaule, car non seulement ils bloquent le système d'information des sociétés, mais ils font aussi du chantage. Ils communiquent et publient même sur certains sites des informations qu'ils ont réussi à voler. Ils ne peuvent pas se cacher.
IK : Le chantage appliqué aujourd'hui à ces entreprises vise à mettre une pression maximale sur la victime, de manière à faire en sorte qu'elle paye. L'une des techniques des attaquants est de voler des données internes, et de les mettre en pâture au public sur des sites dédiés avec l'épée de Damoclès de la rançon : si on ne paie pas, les informations seront livrées à tous. Une entreprise prise dans cette situation ne peut plus nier qu'il y a un incident, puisque ses données sont déjà affichées quelque part, même si elles ne sont pas encore déchiffrées.
Concernant le ransomware et la rançon en elle-même, on dit, évidemment, qu'il ne faut pas avoir le réflexe de payer. Mais au final, beaucoup de gens ou entreprises paient, malgré tout.
TdC : On suppose que certaines victimes, qui du jour au lendemain arrivent à redémarrer leur système d'information, ont payé. On préconise évidemment de ne pas payer.
Le fait de payer ne fait-il pas qu'accroître son exposition aux risques ?
TdC : C'est un risque, puisqu'il faut bien comprendre que certaines informations ont été volées, copiées chez l'attaquant. Ce n'est pas parce que la victime a payé qu'il n'y aura pas un autre chantage derrière ou que des informations ne vont pas être revendues.
« Une fois qu'une entreprise paie la rançon, il est facile pour les groupes cybercriminels de voir qui sont les bons et les mauvais payeurs »
IK : On peut dire deux choses là-dessus. D'abord, en termes de chiffres, l'université américaine de Temple a listé tous les cas de ransomware entre 2013 et 2020 qui ont été publiés dans la presse, avec à chaque fois le montant de la rançon, le secteur d'activité de l'entreprise, sa taille, la durée de l'incident et un paiement éventuel ou pas. Sur plus de 700 cas recensés, ils ont pu noter 200 entreprises qui ont officiellement payé. Le chiffre réel est donc certainement bien supérieur. Sur les impacts de payer la rançon : lorsqu'on est dans un système où la liste des victimes est publiée et qu'elle disparaît du jour au lendemain du site de l'attaquant si la rançon est versée, il est très facile pour les autres groupes de voir ce site et de savoir qui sont les bons et les mauvais clients, les bons et les mauvais payeurs.
Comment va s'introduire un ransomware dans nos systèmes informatiques ?
IK : L'écosystème du cybercrime est composé d'acteurs disjoints qui vont chacun avoir un rôle. On se focalise beaucoup sur l'aspect ransomware, puisque c'est le bout de la chaîne le plus visible, mais en amont, il se passe beaucoup d'autres choses. La personne qui déploie le rançongiciel sur le réseau n'est pas la même personne qui l'a développé ni celle qui a fait cette primo-infection qui a permis d'avoir ce point d'accès dans le réseau de la victime. En termes de découpage, des gens sont spécialistes dans la primo-infection, associés à des botnets comme Emotet, Trickbot, qui piratent le nombre de machines le plus important possible simultanément, en revendant les accès en lot des machines infectées, par exemple 10 000 IP en France, 10 000 IP en Allemagne, à des attaquants qui n'auront qu'à trouver, dedans, quelle sera la société qui a des capacités financières importantes.
En 2020, nous avons aussi vu des hackers indépendants qui se spécialisent dans la création d'accès, et qui vont ensuite vendre sur des forums cybercriminels des points d'entrée au sein d'entreprises accessibles à partir d'une vulnérabilité bien particulière. Ensuite, une autre équipe achète ses accès. Elle prend le contrôle du réseau à partir du fameux point d'entrée fourni par le prestataire. Une fois qu'ils ont le contrôle total de la victime, ils sont prêts à installer un ransomware, qu'ils ne développent pas eux-mêmes mais achètent à un sous-traitant sur des places de marché du dark web. Ça peut par exemple être une licence de Ryuk, etc., soit avec un nombre de licences par nombre d'infections, soit contre un pourcentage de la rançon totale, autour de 40 par exemple.
Derrière, il y a une autre équipe qui prend le relais et va faire le support technique qui s'occupe de la relation avec le client, c'est-à-dire la négociation de la rançon avec la victime, et prouve qu'elle est bien capable de déchiffrer les fichiers. Et au bout de la chaîne, il peut y avoir du blanchiment d'argent pour convertir des bitcoins en voitures de sport ou autres.
Quelles sont les priorités aujourd'hui face au risque cyber du ransomware ?
TdC : La priorité, c'est d'être certain que les solutions installées vont prémunir les utilisateurs contre les attaques ransomware. On a des technologies qui permettent de les bloquer, donc nous allons continuer à les éprouver. La R&D est en lien direct avec nos chercheurs pour travailler sur les incidents de sécurité les plus importants. C'est un cercle vertueux qui permet de passer les informations dès qu'on voit les nouvelles tendances côté attaquants, on met à jour nos solutions et services pour que les niveaux de sécurité restent toujours les plus élevés possibles. L'une des tendances, c'est l'évolution des attaques par ransomware.
« L'attaque DDoS par rapport au ransomware ? C'est le même écosystème, mais avec une application différente »
IK : Il y a eu une annonce du département du Trésor américain, le 1er octobre, via laquelle a été publié un rappel (ou un avertissement, c'est selon) sur le fait que certains groupes derrière ces attaques de ransomware font l'objet de sanctions internationales de la part des États-Unis, et à toutes fins utiles, il rappelle que verser de l'argent à ces groupes-là est susceptible de constituer une violation. C'est une manière pour le gouvernement américain d'essayer de couper les vivres à ces groupes et d'arrêter le flux d'argent qui alimente ce système. Il y a aussi aujourd'hui des groupes d'attaquants qui sont des groupes criminels qui ont des budgets de plusieurs millions de dollars. Et de se demander ce qu'ils vont faire avec cet argent. La connaissance que nous avons du monde du cybercrime est que ces sommes vont permettre d'avoir des outils extrêmement avancés et sophistiqués, par exemple des zero day Windows qui permettraient d'attaquer n'importe quelle machine à distance et d'en prendre le contrôle.
En pratique, on va se retrouver avec des cybercriminels qui vont avoir un niveau technique sensiblement équivalent à des pays émergents.
Partie 2 : DDoS et conseils pour atténuer les risques
Avez-vous relevé une augmentation des débits des attaques par déni de service (DDoS) ces temps-ci ?
IK : De manière globale, au fil des années, les capacités augmentent, notamment parce qu'il y a de plus en plus de câbles sous-marins et ressources qui permettent de porter du trafic. Les records sont battus régulièrement. À mes yeux, il n'y a pas de progression liée à la crise du coronavirus. Cela est plutôt dû aux avancées et évolutions dans le monde du cybercrime.
TdC : Ce qui est certain, c'est que ces attaques-là sont généralement liées à d'autres attaques, qui permettent de déstabiliser une victime et de lancer des attaques parallèles ou simultanées sur d'autres ressources.
IK : Fondamentalement, on part de la même ressource que les ransomwares. Quand un botnet vend les victimes au lot pour faire des infections de ransomware, c'est une manière de monétiser ses victimes, mais les possesseurs de ces botnets peuvent avoir d'autres manières de gagner de l'argent, et l'une d'elles est d'utiliser toutes les machines infectées pour lancer des attaques DDoS. C'est le même écosystème, mais avec une application différente.
Quelles solutions Kaspersky propose-t-il concernant la prévention face aux risques liés au télétravail ?
TdC : Il n'y a pas de réponse particulière. C'est un ensemble de mesures. Il faut faire un travail de prévention. Il y a un énorme travail à faire pour les sociétés, de formation et de sensibilisation, en mettant en place, en parallèle, les bonnes solutions technologiques. Sécuriser des postes de travail, mettre en place de l'EDR (Endpoint Detection and Response), des solutions qui vont être capables d'automatiser un certain nombre d'opérations s'il y a une infection ou une tentative d'intrusion. Il faut aussi mettre en place des plans de reprise d'activité.
« On ne peut pas blâmer les gens qui font entrer les attaquants. Mais en les sensibilisant, il y a des chances qu'ils soient capables de reconnaître une attaque et de lever une alerte »
IK : Il y a effectivement toute une série d'étapes qui, à mes yeux, équivalent à un filet de sécurité, dont aucune n'offre une protection totale, mais qui permettra de limiter grandement l'impact.
La première étape, c'est avoir des backups (Ndlr : des sauvegardes). La base, c'est de se dire : « s'il y a un incident, est-on capable de reconstruire le réseau ? ». Les backups doivent être testées, il faut vérifier si elles sont à la fois correctes et réutilisables, et faire en sorte que ces backups soient sauvegardées dans un endroit qui n'est pas à la portée des attaquants. Car s'ils les contrôlent, ils les supprimeront. Les solutions peuvent être de sauvegarder dans le Cloud ou sur des bandes magnétiques que l'on débrancherait.
La seconde étape, c'est d'avoir une politique de mise à jour qui soit efficace, car beaucoup d'infections commencent par une passerelle VPN qui n'a pas été mise à jour, des patchs Windows pas forcément appliqués, des services obsolètes oubliés qui trainaient dans le parc informatique… Ce sont des choses pas très difficiles à régler, mais il faut y mettre un petit peu de moyens.
La troisième étape, c'est la sensibilisation des utilisateurs, eux-mêmes susceptibles d'ouvrir la porte à tout un ensemble de problèmes de sécurité. On ne peut pas les blâmer, puisqu'il y a des gens dont le travail est d'ouvrir des pièces-jointes toute la journée, pour les factures, les CV, etc. On ne peut pas attendre d'eux qu'ils aient raison 100% du temps. Mais en les sensibilisant, il y a des chances qu'ils soient capables de reconnaître une attaque et de lever une alerte.
Ensuite, il faut s'équiper de produits de sécurité bien configurés et faire en sorte qu'il y ait des détections antivirales sur les postes pour arrêter un ransomware si jamais il est connu.
La dernière étape, à mes yeux, c'est d'avoir une défense proactive, c'est-à-dire partir du principe qu'on s'est fait pirater, et ensuite essayer de vérifier cette hypothèse, donc avoir des gens dont le rôle sur le réseau est de chasser la menace, d'essayer de découvrir où elle pourrait se cacher, trouver les traces d'une compromission, et éventuellement réussir à découvrir des attaques en cours, avant qu'elles aient eu le temps de causer des dommages.
Merci à vous deux pour vos réponses !