Les ransomwares sont une menace constante depuis plusieurs années. Ce qui les rend redoutables est que leur modèle évolue et s’adapte pour être les plus efficaces possibles. Dernière évolution : la menace physique.
File ta tune !
Toutes les méthodes des escrocs sont bonnes pour récupérer votre argent. Au départ, les ransomwares chiffraient les fichiers et réclamaient une rançon, d’où leur nom.
Une lente évolution criminelle
Au départ, c’était simple : pris au dépourvu, l’utilisateur final (souvent un particulier) n’avait pas d’autre choix que d’espérer que le paiement de la rançon lui permette de retrouver ses fichiers. Nos vies sont de plus en plus numérisées, et la perte de documents importants, de mails, de photos ou de vidéos est en soi un argument suffisant.
Tout le monde s’adapte
Sauf que les malwares n’étaient pas toujours bien réalisés, la clé de chiffrement était parfois facile à trouver (pour des spécialistes, qui mettaient alors les outils de chiffrement à disposition de tous), ou alors des bugs (volontaires ou pas) rendaient le déchiffrement impossible… Les utilisateurs ont alors commencé à se prémunir et à être de plus en plus vigilants, poussés également par les grands acteurs incitant à faire des sauvegardes régulières.
Sans être la panacée (il faut faire des sauvegardes régulièrement, les protéger, etc.), cette habitude a rendu la tâche plus compliquée pour les méchants, car les cibles potentielles devenaient de moins en moins vulnérables, et le modèle économique devenait moins avantageux.
Choix des cibles
Une des premières réponses des attaquants fut de s’attaquer également aux sauvegardes, en cherchant sur les disques réseaux, sur les serveurs NAS, etc. D’un autre côté, les assaillants ont ciblés de mieux en mieux leurs victimes, en cherchant les plus rentables (celles prêtent à payer cher pour récupérer leurs données, celles qui sont moins préparées, etc.). De très nombreuses ETI, des mairies, des hôpitaux se sont vite retrouvés en tête des victimes, dans tous les pays où l’informatisation règne.
Mode d’extorsion
Comme les cibles potentielles s’équipent et s’organisent de plus en plus pour contrer cette menace, les opérateurs de ransomware modifient leur mode d’attaque, et on progressivement commencer à siphonner les données des victimes, afin d’ajouter la menace de divulgation à la menace de destruction. Ainsi, même avec un bon plan de continuité d’activité et de bonnes sauvegardes, les entreprises ne sont plus à l’abri : on les menace désormais, de plus en plus souvent, de faire divulguer les données récupérées durant l’attaque si la rançon n’est pas payée rapidement (il y a souvent un ultimatum).
L’informatique c’est physique
Dernière évolution en 2020 : pour augmenter encore la pression sur les victimes, les opérateurs de ransomwares n’hésitent plus à les harceler téléphoniquement, en les menaçant de représailles physiques. Si, fin 2020, ces menaces restent théoriques, peut-être verront nous le retour des gros bras d’antan venant administrer une raclée aux victimes récalcitrante, façon mafia. Bien que cela soit beaucoup plus risqué qu’une menace purement informatique, tout est possible.
La 2e lame
Une curiosité et une calamité pour certaines victimes : certains groupes actifs étant iraniens, pays sous embargo de la part des Etats-Unis, les victimes payant les rançons pour déchiffrer leurs fichiers risquent alors des sanctions de la part de l’administration américaine1 ! Cela pèsera forcément dans la décision de payer ou non. Les négociateurs sont prévenus…