Par l’Equipe Zalis
Risques cyber : quelle cartographie des acteurs ?
Depuis notre newsletter du mois dernier sur les risques cyber, les attaques, notamment par ransomwares, se sont encore accélérées. Les exemples ne manquent pas, partout dans le monde. Le sentiment d’impuissance domine ; entraînant, trop souvent, l’inaction. Comme toujours chez Zalis quand nous débutons une mission, nous avons tenté d’établir une cartographie des principaux acteurs de l’industrie du ransomware, de leurs business models, et de leur dynamique. Si la piraterie digitale a longtemps été discrète, voire romanesque – le « gentil » pirate dans Matrix, et dans tous les cas artisanale, elle s’est grandement professionnalisée à mesure que les enjeux financiers sont devenus de plus en plus larges. Nous ne nous battons presque plus contre des artistes antisystème ; le nouveau visage de la plupart de ces acteurs est mafieux, voire tout simplement business. Un business qui commence à se chiffrer en centaines de millions voire milliards de dollars, rien que pour les rançons payées.
En attaque, 3 types d’acteurs :
- Les « pirates » : de moins en moins artistes, de moins en moins sophistiqués, ils exploitent le plus souvent des failles archi-connues, dont la première d’entre elles est bien entendu l’humain (humain, trop humain, nous enseigne Nietzsche). Le but est d’entrer dans un réseau informatique. Le plus simple : envoyer un email de phishing (vous devez modifier votre mot de passe), passer un appel en apparence anodin (on se méfie beaucoup moins au téléphone), ou bénéficier des largesses des utilisateurs (la liste des 20 pires mots de passe est à ce titre éclairante ou confondante (password, 123456789, azerty…)) ou des équipes IT (oui, faire les mises à jour de l’ensemble des équipements, du Firewall au PC ou au mobile, prend un temps fou, mais c’est indispensable). Tout cela est une démarche largement automatisée et qui ne demande que peu de compétences. Une fois entrés, ces pirates vendent fréquemment leur accès à d’autres.
- Les « fabricants de ransomwares » : ce sont des groupes, souvent structurés en entités économiques qui se rapprocheraient d’une association d’avocats ou des professions libérales réunies sous une même ombrelle. Ils vendent le plus souvent leur logiciel de rançon à d’autres, sur un modèle as-a-service, voire avec un mécanisme de partage des rançons façon sucess fee! Des groupes cybercriminels comme Netwaler ou Egregor opèrent ainsi.
- Les exploitants : une fois l’accès obtenu des pirates et à l’aide d’un ransomware, ce sont eux qui entrent dans le réseau de la victime et entament le processus de reconnaissance du réseau. Généralement, ils vont directement dans l’Active Directory (l’annuaire de l’entreprise), l’ERP ou le CRM, ou cherchent les (trop nombreux) tableaux excel indispensables aux financiers. Ce travail prend de quelques heures à quelques jours, avant de crypter ces données – parfois un NAS entier. Les plus fourbes attendent quelques semaines, le temps que les sauvegardes soient elles-mêmes corrompues… Parfois, ils envoient aussi des emails plus ou moins menaçants, plus ou moins personnalisés : si Google connait tout de vous, un pirate passant quelques heures sur les réseaux sociaux peut facilement connaitre vos goûts musicaux, le modèle de votre voiture, votre score à votre dernier match de tennis ou votre liste de souhaits sur Amazon. Autant d’informations qu’il pourra utiliser pour vous faire croire qu’il vous suit depuis toujours.
De plus en plus, ces trois acteurs opèrent différemment dans une attaque. Cette répartition des tâches entraine une deshumanisation de l’attaque ; d’où les hôpitaux ciblés en pleine pandémie.
En défense, pas mal de monde également :
- Les avocats : Le premier réflexe après avoir été piraté est souvent… d’appeler son avocat ! Peut-on payer une rançon discrètement ? Doit-on communiquer au marché ? D’une manière générale, comme en cas d’OPA, de perquisition ou de problème RH grave, il faudrait avoir à disposition un manuel de défense à portée de main, répondant aux principales questions. Qui appeler ? Que faire ? Que ne surtout pas faire ? Etc. Les avocats sont là pour vous aider à déterminer qui doit être informé du problème, si une éventuelle rançon peut être payée, s’il y a des risques juridiques voire pénaux.
- Les assureurs : si une entreprise décide qu’elle doit payer une rançon, les polices d’assurance cyber couvrent parfois ce coût. Mais comme l’assurance automobile ‘tous risques’ entraine parfois une hausse des petits accidents et des bris de glace, ces polices tendent à augmenter le coût des rançons… ce qui va finir par rendre ce risque inassurable, ou économiquement irrationnel.
- Les entreprises de cybersécurité : ces entreprises aideront les victimes à déterminer la source du problème, à éviter que le ransomware passe une deuxième fois à l’action, parfois même à décrypter sans payer la rançon. Toutes ne sont pas recommandables dans un marché florissant.
- Les acteurs étatiques : Ils font souvent un travail remarquable. En France, l’ANSSI fait partie de ces quelques administrations françaises dont l’efficacité et l’intelligence est inversement proportionnelle aux moyens que l’on leur consacre, et qui font encore l’admiration des autres pays. Ce travail remarquable devrait être souligné et renforcé compte tenu de la menace. Si vous avez du temps, n’hésitez pas à lire le rapport « Etat de la menace rançongiciel» publié le 1er mars dernier.
Au centre du terrain, les plateformes d’échange de crypto monnaies :
Sans rentrer dans le débat de l’intérêt des crypto actifs, comme pour toute place de marché, elles jouent un rôle dans l’obscurcissement des flux et le blanchiment des rançons. Sans elles, impossible pour un groupe cybercriminel de récupérer facilement des cryptos actifs et de les dépenser en monnaies courantes. Cela ne veut pas dire que les ransomwares n’existeraient pas sans les plateformes d’échange de crypto monnaie ; juste que le paiement de la rançon serait plus difficile, et que le cyber criminel prendrait plus de risques en tentant de récupérer la rançon, comme dans les films policiers !
Si nous ne parvenons pas à mettre un terme à ce « marché » florissant – en attaquant notamment les plateformes d’échange de crypto monnaie et en mettant une pression politique sur les Etats non-coopératifs en la matière, nous risquons une perte de confiance généralisée. Ce que l’écosystème du ransomware va réussir à faire, c’est à miner une partie de notre confiance dans l’économie numérique. Vous êtes consternés par cette conclusion ? Préparez-vous à pire : les deepfakes – ces vidéos générées par ordinateur, hyper-réalistes – se perfectionnent. Dans un monde où la règle de Saint Thomas – je ne crois que ce que je vois – nous berce depuis deux millénaires, notre jugement s’apprête lui aussi à être chamboulé. Ces sujets n’ont pas fini d’être en tête des cartographies des risques !