La guerre contre le ransomware est-elle en passe d’être gagnée ?<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
La guerre contre le ransomware est-elle en passe d’être gagnée ?
©

Cyberattaque

Développé à la fin des années 80, ce type d'attaque informatique a connu une forte augmentation avec la popularisation des cryptomonnaies.

Fabrice Epelboin

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio »

Atlantico : Les attaques par ransomware sont une menace sérieuse pour les particuliers et les entreprises. Mais dans un article du magazine Bloomberg, on apprend qu'il y aurait une diminution du nombre d’attaques cette année. Pouvons-nous constater une diminution sur ce front ? 

Fabrice Epelboin :La comptabilisation du nombre d'attaques au ransomware est impossible à faire car elle se base sur du déclaratif. Dans le monde, il n’y a aucune obligation de déclarer ces attaques à l’exception des États-Unis où le Ransomware Act impose aux entreprises de signaler ces attaques aux autorités compétentes. En France, nous sommes tributaires des déclarations faites auprès de l’ANSSI. Si une entreprise du CAC 40 se fait attaquer, l’ANSSI va en entendre parler, mais si c’est une PME, l’ANSSI ne sera pas au courant car elle n’a rien à lui apporter, l’agence a déjà suffisamment de travail avec les opérateurs d’importance vitale, ces entreprises et organisations indispensables à la survie de la nation dont elle supervise la cybersécurité. La comptabilité des ransomwares pose donc problème.

On constate une baisse, pourquoi pas, mais il pourrait s'agir d’un changement de cible, des grandes entreprises vers les petites entreprises, d’une variation saisonnière, ou des effets des bouleversements géopolitiques en cours, qui ne font que commencer et qui pourraient faire repartir les attaques à la hausse. Le tissu économique constitué par les PME reste une boîte noire pour ce qui est des ransomware, on ne sait pas trop ce qu’il s’y passe.. On sait qu’elles se font attaquer, mais on n’a pas de méthodologie fiable pour comptabiliser les attaques. 

Enfin, si l’on se fait pirater par du ransomware, on ne va pas le crier sur les toits. La plupart du temps, il s’agit de vol de données, il peut donc y avoir un problème RGPD derrière et quand on est une entreprise, on n’a pas forcément envie d’alerter les autorités à ce propos. Le maître mot dans ces affaires est la discrétion. 

Mais par rapport à dix ans, comment leur nombre a évolué ? 

Bien sûr, les attaques sont en augmentation, et même en explosion. Il y a dix ans, c’était quelque chose de relativement anecdotique et les méthodes de paiement Visa ou Mastercard n’étaient pas adaptées à ce type de racket… L’omniprésence des cryptomonnaies fait qu’aujourd’hui le rançonnage est facilité. La plupart des grosses entreprises ont déjà été rançonnées et beaucoup ont des lignes de crédits en Bitcoin pour être opérationnelles très rapidement en cas de problème.

À quoi est-du cette augmentation ? 

Nous ne sommes pas assez protégés contre les ransomware et les attaques informatiques en général. Une fois que l’on pénètre le système, on peut faire de l’espionnage industriel ou du ransomware, le problème n’est pas lié au ransomware mais à la sécurité informatique en général, ou plutôt à son déficit. Les systèmes ne sont pas assez sécurisés à la fois pour des raisons économiques et par un manque de ressources humaines. Il y a un déficit structurel sur ce dernier point car les compétences recherchées ne sont pas disponibles sur le marché de l’emploi. La situation ne va donc pas s’améliorer avant une génération, pour peu qu’on s'attelle au problème de l'enseignement et de la mise en valeur des talents en cybersécurité. A court terme, la solution pour acquérir un peu de résilience face à ce phénomène est plutôt à chercher du côté de l’assurance, mais pour celà, il faut que les assureurs arrivent à trouver une méthode pour calculer le risque. 

Il y a par ailleurs, comme avec toute forme de délinquance, une dimension sociale, mais celle-ci est ici globalisée. Certains pays, comme la Russie ou la Tunisie, ont des ressources éducatives de très haut niveau et forment d’excellents informaticiens ou experts en cybersécurité, mais ils n’ont pas le tissu économique pour leur proposer un emploi adapté. Sans possibilité d’insertion sur le marché de l’emploi, certains de ces experts vont verser dans la criminalité. 

Ces attaques sont-elles faciles à faire ? 

Pas forcément, ça dépend des entreprises visées, car il faut pénétrer le système et y placer ensuite un ransomware. On peut être affilié à un gang qui fournit le ransomware, mais pour pirater et paralyser un système cela n’est pas forcément aisé et peut demander des mois de travail à une équipe. Une fois la mission accomplie on peut réclamer des sommes folles qui peuvent se compter en dizaines de millions de dollars pour les plus grosses entreprises touchées par le phénomène.

Ces attaques peuvent-elles avoir un aspect géopolitique ? 

Il y a bien une problématique géopolitique derrière ces attaques et les récents bouleversements ont radicalement changé le monde des ransomwares. De nombreux attaquants sont affiliés à la Russie, sans pour autant être une annexe des services de renseignement, disons qu’ils vivent en bonne intelligence avec les autorités. Le fait que la Russie soit entrée en guerre transforme des actes qui passaient hier pour du grand banditisme en de potentiels actes de guerre. Cela a donc affecté des attaques sur certains types d’opérateurs d’importance vitale. L’attaque du Colonial Pipeline a été considéré comme un acte de guerre par le président Biden, il en a fait part à Vladimir Poutine et ce dernier à fait en sorte que cela s’arrête immédiatement. 

Cela montre qu’il a les capacités du pouvoir russe à contrôler un gang de ransomware. Mais le FSB n’est pas pour autant responsable du ransomware. Seuls les nords-coréens agissent de la sorte. Dans de nombreux autres pays, il y a une entente plus ou moins implicite entre une cyber-criminalité et l’État, tant que les cyber criminels n’attaquent pas d'entreprises situées sur leur territoire ou sur celui de ses alliés. 

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !