Lutte contre la cybercriminalité : radioscopie de nos (vrais) progrès… et de nos points faibles

Atlantico : Une cyberattaque a visé le centre hospitalier Sud-Francilien, les pirates informatiques réclameraient 10 millions de dollars pour remédier à leurs méfaits. Que s’est-il passé ? A quel point ces cyberattaques sont-elles devenues une chose commune ?

Franck DeCloquement : Le centre hospitalier CHSF de Corbeil-Essonnes est en effet visé par une cyberattaque qui a impacté ses systèmes d'information, et perturbe très fortement son activité opérationnelle depuis dimanche 21 aout. Partiellement paralysé, les patients de l’établissement sont d’ailleurs redirigés d’urgence vers d'autres établissements du département. Cette attaque a eu lieu aux alentours de 1 heure du matin indiquait dans un communiqué l'hôpital, rendant inaccessibles tous les logiciels métiers du CHSF. Notamment les systèmes de stockage des données, et plus particulièrement ceux dédiés à l'imagerie médicale, mais aussi le système d'information relatif aux admissions des patients dans l’établissement...

A cet effet, l'Autorité nationale de défense en charge pour les opérateurs d’importance vitale (OIV) – l’Agence Nationale de sécurité des systèmes d'information (ANSSI) – a été immédiatement saisie. Et ses experts dument mandatés pour travailler à identifier la source de la cyberattaque, circonscrire le périmètre du réseau impacté et sécuriser les sauvegardes. Viendra ensuite le temps de la remédiation. Des dégradations soudaines et pernicieuses qui ont naturellement conduit le personnel de l’établissement à revenir prestement au « dossier papier, et au stylo » pour les patients déjà hospitalisés, a d’ores et déjà confirmé dans les médias le maire adjoint d’Evry-Courcouronnes et président du conseil de surveillance du CHSF, Medhy Zeghouf : « Certains appareils et systèmes étant en effet perturbés, il y aura des déprogrammations d’actes et d’opérations », a-t-il ajouté. 

De leur côté, et selon une source policière autorisée s’étant confiée à l’Agence France-Presse, les cybercriminels demanderaient prestement en langue anglaise, le versement d'une rançon de 10 millions de dollars pour débloquer le système informatique, et ne pas divulguer les données médicales des patients…  A ce titre, les experts de l'unité spécialisée du Centre de lutte contre les criminalités numériques (C3N) de la Gendarmerie Nationale sont en charge des investigations pour « intrusion dans le système informatique, et pour tentative d’extorsion en bande organisée ». Une instruction judiciaire a en outre été ouverte à la section cybercriminalité du parquet de Paris.

Dans quelle mesure la lutte contre les cyberattaques, et notamment celles utilisant des ransomwares pour opérer leurs méfaits criminels, a-t-elle progressé ces dernières années ? A quel point demeurons-nous collectivement démunis ou impuissants,  face à ces attaques soudaines et très agressives ?

La progression des ransomwares est tout à faramineuse. Et cela,malgré toutes les mesures de protection envisagées par les établissements susceptibles d’être impactés par leurs actions pernicieuses. Très concrètement, et selon plusieurs instituts en veille spécialisée dans le monde, le nombre d’attaques par ransomware a doublé au premier trimestre 2022 par rapport à la même période l’année dernière. Ce chiffre est extrait du dernier rapport de « Threat Lab » de WatchGuard, le centre de recherche d’une société de cybersécurité américaine basée à Seattle.  Une hausse après une baisse au quatrième trimestre 2021. Threat Lab de WatchGuard effectue en outre régulièrement une analyse approfondie du paysage des cybermenaces. Les résultats de recherche permettent aux organisations d’avoir une longueur d’avance sur les acteurs malveillants pour mieux construire leur défense. Les conclusions de son dernier rapport indiquent que le nombre total d’attaques par ransomware au premier trimestre 2022 a doublé d’une année sur l’autre. Un résultat inattendu en sachant que les attaques par rançongiciel avaient baissé au quatrième trimestre de l’année 2021. Dans son rapport, Threat Lab de WatchGuard souligne que les organisations de la zone économique EMEA (Europe Middle East and Africa) seraient les plus touchées. Cette région qui regroupe les pays d’Europe, du Moyen-Orient et de l’Afrique a subi à elle seule 57% des attaques. Celles de la région AMER (Amérique du Nord, centrale et du Sud) et les organisations de la zone pacifique (APAC ou Asie-Pacifiques) sont moins ciblées avec respectivement 22% et 21% des attaques.

A titre informatif, 66 % des organisations françaises  ont été touchées par un ransomware en 2021, une hausse de 37 % par rapport à 2020. C’est une augmentation de 78 % en un an. Ce résultat montre que les adversaires sont devenus capables d’exécuter des attaques  plus importantes à grande échelle. Cela reflète aussi le succès croissant du modèle de Ransomware-as-a-Service (RaaS) qui étend considérablement la portée des ransomwares, tout en réduisant le niveau de compétence requis pour déployer une attaque. Ce que nous rappelions d’ailleurs dans nos « prévisions cyber 2022 » en décembre dernier, pour Atlantico. SOPHOS a de son côté également mené une enquête indépendante auprès de 5600 décideurs informatiques dans des organisations de taille moyenne (100 à 5 000 employés) dans 31 pays, (dont 200 en France). Cette enquête s’est déroulée entre janvier et février 2022, et les répondants ont été invités à s’exprimer sur la base de leurs expériences vécues en 2021.

2. L’état des ransomwares en France en 2022 : 

• 73 % des organisations françaises ont été touchées par un ransomware en 2021, une augmentation considérable par rapport aux 30 % signalés en 2020. En comparaison, à l’échelle mondiale, 66 % des répondants ont subi une attaque de ransomware en 2021.

• 74 %  des attaques sont parvenues à chiffrer des données. Ce chiffre est supérieur à la moyenne mondiale de 65 % et représente une augmentation considérable par rapport aux 60 % déclarés par les répondants français en 2020.

• Les sauvegardes sont la première méthode utilisée pour restaurer les données, 78 % des répondants français dont les données ont été chiffrées ont utilisé cette approche. 34 % ont payé la rançon. Il est désormais commun d’utiliser plusieurs méthodes de récupération en même temps. En comparaison, à l’échelle mondiale, 73 % des répondants ont utilisé des sauvegardes et 46 % ont payé la rançon pour restaurer leurs données.

• Les organisations françaises ayant payé la rançon ont récupéré en moyenne 45 % de leurs données. À l’échelle mondiale, 61 % des données chiffrées ont été restaurées par ceux qui ont payé la rançon, soit une légère baisse par rapport au chiffre de 65 % enregistré en 2020.

• 93 % ont déclaré que l’attaque de ransomware avait eu un impact sur leur capacité à fonctionner. Ce chiffre est aligné sur la moyenne mondiale de 90 %.

• 92 % ont déclaré que l’attaque de ransomware avait entraîné une perte d’activité ou de revenus pour leur organisation. Ce chiffre est un peu plus élevé que le chiffre mondial de 86 %.

La problématique majeure à laquelle se confrontent rapidement les organisations victimes de ce type de cyberattaque par l’usage d’un rançongiciel, et de savoir s’il faut  payer ou non la rançon ! 

On retiendra à ce titre que les pirates informatiques – en majorité – ne tiennent que très rarement leurs paroles… En clair, payer une rançon ne protège pas contre les méfaits prévisibles d’une telle intrusion. Et cela même, si dans un premier temps, s’acquitter de la somme demandée semble une bonne solution relative, en ce sens qu’envisager le coût prohibitif d’une remédiation complète du dispositif informatique s’avère plus onéreux que les sommes souvent exigées par les cybercriminels. C’est ainsi que le piège se referme sur les victimes, car il est démontré que les cybercriminels ne se débarrassent pas des informations exfiltrées lors de leurs méfaits, et cela même après que la rançon ai été payée... Et lorsque ces informations sont classées « confidentielles entreprises » ou s’avèrent particulièrement sensibles, il existe toujours une possibilité de faire chanter ladite organisation par la menace d’une publication de ces informations classifiées. 

Plusieurs noms d’organisations responsables et de groupes de pirates de cyberattaques circulent régulièrement dans les médias. Ces attaques sont le plus souvent « attribuées » par défaut, ou par « extrapolation » compte tenu des éléments récoltés par les enquêteurs, plus qu’elles ne sont réellement « revendiquées » par les pirates eux-mêmes. Pour autant, est-on réellement en capacité de dire, ou de prouver incontestablement, quels sont véritablement ces groupes criminels à l’œuvre, et surtout, qui sont leurs éventuels commanditaires derrières leurs exactions ? 

A ce titre, soyons extrêmement lucides : l’objet même de ces actions cybercriminelles menées dans le « cybermonde » par le truchement des technologies informatiques, permet justement d’échapper dans la majeure partie des cas à l’identification certaine par les autorités régaliennes en charge, et aux sanctions judiciaires corrélatives. Le risque d’interpellation et de sanction est en effet bien moindre pour les cybercriminels, que dans le monde « réel ». Ce n'est une surprise pour personne… Et cela motive naturellement ces gangs organisés à passer à l’action sans vergogne. 

La question qui se pose maintenant pour les autorités, est de savoir comment allez plus loin pour entraver ou neutraliser les agresseurs en amont ? Car les attaquants ont la partie belle comme l’évoquait en substance Guillaume Poupard, le patron de l’ANSSI en février 2020 dans Zdnet : « aujourd'hui, la seule chose qu'ils risquent véritablement c'est que leur attaque ne fonctionne pas… » Amère constat… 

L’attribution des attaques relève en somme d’un jeu constant de chat et de la souris (sans jeu de mots). Mais aussi, et dans certains cas, d’un bras de fer diplomatique… Car ne l’oublions pas : la désignation publique des auteurs de piratage par les autorités d’un pays est un geste avant tout éminemment politique… Comment déterminer qui est à l’origine ou non d’une attaque informatique quand il est possible de savoir quels pays se cachent derrière certaines d’entre elles… Tous les experts s’accordent à le dire : « c’est très compliqué ! » 

L’exercice est particulièrement délicat, tant les fausses pistes, les faux nez  et les faux-semblants sont nombreux, et reposent en définitive à la fois sur l’analyse des traces techniques laissées par les pirates, sur leur mode opératoire et sur leurs objectifs raisonnés. Mais aussi, sur l’étude du profil des victimes visées… Ces informations capitales sont le plus souvent détenues par les agences spécialisées et les centrales de renseignement, et généralement conservées dans l’opacité du secret-défense. Mais si l’attribution d’une cyberattaque est par définition un challenge conséquent pour les experts – autant qu’un véritable puzzle à reconstituer pour les enquêteurs – la désignation publique à la vindicte d’un responsable est toujours en définitive une décision hautement politique, répétons-le. 

Quelles sont aujourd’hui nos principaux points de faiblesse en France, et les secteurs qui auraient le plus besoin de revoir leur préparation à ces enjeux essentiels de cyber protection ? 

Ces dernières années en France, tel le malheureux Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes aujourd’hui,les organismes publics sont très souvent la cible des d’attaques aux ransomwares. Et ces actions sont en très forte croissantes comme nous l’avons mentionnés plus haut. 

Pour mémoire, le 10 aout 2019, des hackers avaient coupé le réseau informatique de 120 hôpitaux en France du groupe privé Ramsay-Générale de santé, repoussant à l’issue plusieurs opérations chirurgicales... Un évènement funeste depuis inscrit dans toutes les mémoires... Cette cyberattaque avait d’ailleurs – la aussi – contraint l'ensemble du personnel à revenir au stylo et au papier. Une situation de crise extrême qui avait duré au moins une semaine pleine. La direction de la communication indiquait à l’époque que le virus mis en cause avait « paralysé » les serveurs gérant les infrastructures et les messageries. Mais qu'à sa connaissance, aucuns documents sensibles (dossiers médicaux des patients, fiches d'admissions et autres documents administratifs) n'avaient été consultés et/ou subtilisés. La période estivale d’alors « pré-Covid 19 », avec une activité extrêmement réduite, ainsi que des procédures de remédiation mises en place, avaient permis de ne pas affecter les soins apportés dans les hôpitaux du groupe. Ce n’est pas le cas aujourd’hui pour le Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes. 

De leur côté, il est à noter que les États-Unis ont élevé les attaques aux ransomwares au même rang de priorité que les attaques terrorisme. Cette décision fracassante du ministère de la Justice est survenue après que plusieurs attaques majeures ont paralysé les services américains. Le pays entend ainsi employer les mêmes méthodes d’investigation pour les deux  formes de menaces suscitées. Pour les aider dans ce processus, une unité spéciale vient d’être créée à Washington : « Il s’agit d’un processus spécialisé visant à s’assurer que nous suivons tous les cas de ransomware, quel que soit l’endroit où ils peuvent être référés dans ce pays, afin de pouvoir établir les connexions entre les acteurs et remonter la filière pour perturber toute la chaîne », expliquait à ce titre John Carlin (procureur général adjoint au ministère de la Justice ) dans la presse américaine. 

Cette décision n’est pas due au hasard : les États-Unis ont en effet été les victimes ces dernières années de très nombreuses cyberattaques de grande ampleur, de type « ransomware ». En 2019, une cyberattaque massive avait paralysé le réseau de La Nouvelle-Orléans. Plus récemment, des pirates avaient attaqué Colonia Pipeline, principal opérateur d’oléoducs pétroliers américains, entraînant le déclenchement de l’état d’urgence face aux risques de pénuries potentielles. La dernière attaque au Ransomware en date qui visait « JBS », un très important fournisseur de viande américain, ayant fini par convaincre Washington de l’urgence de la situation… Ce nouveau niveau de priorité accordé aux « attaques à la rançon » vise donc à réduire drastiquement pour l’essentiel, les risques induits en dissuadant très fortement les pirates de s’en prendre aux structures d’importance vitale pour le pays. La situation en Ukraine et les velléités offensives de la Russie renforçant naturellement à l’extrême les mesures de protection et de vigilance dans le cyberspace…  

Quelles sont les différentes étapes à suivre par les spécialistes pour attribuer une attaque informatique ? Pourquoi est-il si difficile de localiser la source d’une attaque de ce type ?

Très schématiquement,comme nous l’avions déjà indiqué dans nos différents articles pour Atlantico, l’attribution d’une attaque est un problème récurrent impliquant une combinaison de plusieurs analyses, ayant pour but immédiat d’endiguer cette violation.

Parmi cette liste non exhaustive, attardons-nous un moment sur les deux analyses qui nous semblent être les plus stratégiques lors de cette résolution : 

- Premièrement nous avons l’analyse « forensic », ou « technique », qui consiste à exploiter les traces techniques qu’auraient laissées les attaquants durant leur passage, en visionnant le journal des évènements (events log), les malwares ou tout autre indice. A ce stade de l’enquête, les spécialistes cherchent naturellement à déterminer quel a été le mode opératoire suivi par les pirates pour s’introduire dans le système, ainsi que l’éventuelle similarité du malware utilisé par rapport à d’autres actions criminelles déjà connues à ce jour. 

- Le deuxième point d’importance à observer, et non des moindres, c’est celui du contexte géopolitique et économique de l’attaque. Cette vue d’ensemble – ou « Big Picture » – permet potentiellement de déterminer les motivations des attaquants impliqués dans la malveillance diligentée. L’assaillant cherche-t-il à soutirer de l’argent ?  Souhaite-il au contraire dérober une information industrielle capitale ? Ou veut-il plus simplement nuire à sa cible ? Cette contextualisation des évènements en dira également beaucoup plus sur la nature de ces acteurs malveillants : fait-on face à des criminels isolés ou à des forces engagées, commanditées par des Etats belligérants ? « That is the question »… 

Pour mener à bien cette analyse de profondeur, il faut prendre en considération plusieurs facteurs induits parmi lesquels il nous est possible de citer « l’envergure de l’attaque » (quels moyens humains et matériel sont-ils été mis en œuvre pour mener à bien l’attaque ?), la « nature des données exfiltrées par les attaquants » (quelle est leur valeur exacte sur le marché noir de la data ?), le « secteur d’activité de l’organisation cible de l’attaque » et le « contexte géopolitique » du pays où se trouve l’organisation cible de l’attaque. La recherche sur l’origine d’une attaque spécifique repose toute à la fois sur l’analyse des traces laissées par les pirates, sur leur mode opératoire particulier et sur leurs motivations à perpétrer cette action, mais aussi sur l’étude du profil des victimes ciblées.

Toutes ces étapes sont particulièrement délicates à appréhender, et ce pour deux raisons principales : la première recoupe la dimension technique qui freine énormément les investigations. En effet, les attaquants ont à leur disposition un arsenal d’outils et de moyens très sophistiqués leur permettant de laisser le moins de traces informatiques possibles durant la commission de leur action. Et le plus souvent, leur process d’action consiste à « refaire à l’envers» le chemin, afin d’effacer toutes les traces résiduelles restantes. Et dans ce registre, le temps est naturellement leur allié car, le plus souvent, l’intrusion malveillante est détectée bien longtemps après l’attaque elle-même. Dans ce cas, les traces informatiques pourraient être incomplètes, voire même ne pas avoir été sauvegardées (rotation des fichiers de traces, etc.) 

Enfin, les attaquants s’ingénient le plus souvent à fausser les pistes en implantant par exemple des « false flags » (terme issu de la langue anglaise, signifiant « faux drapeau », il provient en droite ligne de l’univers de la navigation maritime, et désigne un drapeau utilisé comme ruse en mer lors de l’attaque d’un navire ennemi, afin d’éviter d’être reconnu et attaqué soi-même avant d’être suffisamment proche de la cible pour l’aborder), au niveau des traces informatiques laissées derrière eux  pour faire diversion. Le second frein réside dans l’aspect juridique : à ce titre, il faut savoir que les attaquants ne mènent pas leurs attaques directement depuis leurs postes informatiques. Ils passent le plus souvent – et très communément – par plusieurs serveurs « intermédiaires » ou « proxy », avant d’atteindre le réseau de l’organisation qu’ils ciblent. La plupart du temps, ces serveurs sont basés dans des pays étrangers qui possèdent des juridictions très différentes de celle du pays victime de l’attaque. Pour les besoins de l’enquête, il est parfois nécessaire d’accéder à l’historique des traces de ces serveurs. Cet accès nécessite de procéder à des demandes d’autorisations aux services judiciaires compétents des pays concernés : ces autorisations peuvent être, soient refusées, ou au mieux octroyées moyennant de très longs délais d’attente dans leur restitution. Ceci étant naturellement propice à la perte définitive des données indispensables à l’enquête… Jeux troubles de la géopolitique obligent… L’époque est épique !