Les attaques par rançongiciels ont progressé de 255 % en un an

Le CERT (Centre gouvernemental de la veille, d'alerte et de réponse aux attaques informatiques), qui fait partie de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), vient de publier son rapport annuel sur l'état de la menace par rançongiciels (ransomwares).

Une hausse significative des attaques par rançongiciels a été constatée en 2020 puisque l'ANSSI a été alertée de 192 incidents, contre 54 en 2019, soit une augmentation de 255%. L'Agence précise que ce chiffre est en hausse depuis 2018 et s'inquiète de la montée en puissance des ransomwares dans les années à venir, compte tenu des revenus générés par ces attaques et de "l'émergence d'assurances et de sociétés de négociation validant leur modèle économique". En effet, l'ANSSI remarque que "la rentabilité des attaques est favorisée par les assurances cyber souscrites par les victimes, dont la couverture du risque consiste simplement à payer la rançon". Autre explication : d'une part, le paiement de la rançon est souvent inférieur aux coût de remédiation, d'autre part, la rentabilité des attaques est bien supérieure à leur coût de mise en oeuvre.

S'il est difficile d'estimer précisément les gains perçus par les attaquants, l'étude des mouvements financiers sur les portefeuilles de cryptomonnaie montre que les revenus se comptent généralement en millions de dollars. Par exemple, "de mars à juillet 2020, Netwalker aurait généré 25 millions de dollars, tandis que Ryuk aurait accumulé 150 millions de dollars depuis ses débuts en 2018", précise le rapport.

Trois tendances ont été observées en 2020 :

Les pertes financières peuvent être énormes, d'autant que les cybercriminels déploient tous leurs efforts pour parvenir au paiement de la rançon.

Mais l'ANSSI constate que les dégâts causés par un rançongiciel peuvent aller bien plus loin :

Si, de manière générale, l'ANSSI relève qu'aucun secteur d'activité ni aucune zone géographique ne sont épargnés, les attaques sont en hausse contre des victimes plutôt inattendues : les collectivités locales, le secteur de l'éducation (principalement aux Etats-Unis), le secteur de la santé, surtout depuis la pandémie de Covid-19, et les entreprises de services numériques.

Le rapport de l'ANSSI constate qu'ils se sont diversifiés. Autrefois essentiellement limités aux courriels d'hameçonnage, les rançongiciels peuvent désormais être initiés via un "point d'eau" (visite, directe ou motivée par une URL reçue par courriel, d’un site Internet compromis), accès RDP (Remote Desktop Protocol) mal sécurisés, exploitation de vulnérabilités liées à des serveurs, des logiciels VPN ou des logiciels de surveillance et de gestion à distance, en particulier les logiciels d'infogérance et attaques de supply-chain.

Selon l'ANSSI, l'une des solutions viendrait de l’évolution des législations américaines et européennes en matière de LCB-FT qui pourrait agir comme un frein au paiement de la rançon en engageant la responsabilité de toute personne physique ou morale facilitant son paiement. Par exemple, en octobre 2020, le Département du Trésor américain a rappelé que les victimes de rançongiciels qui paieraient la rançon ou les sociétés facilitant ces paiements seraient sanctionnées, en particulier si ces paiements étaient à destination de groupes d’attaquants eux-mêmes sujets à des sanctions américaines.